SlideShare una empresa de Scribd logo

ISO27001 Introducción a la Gestión de Seguridad de la Información

Juan Fernando Jaramillo
Juan Fernando Jaramillo

Presentación de implementación de un SGSI basado en ISO/IEC 27001, actualizado a la versión 2013, más didáctico y simple.

Tecnología
1 de 39
Descargar para leer sin conexión
GERENCIA ESTRATÉGICA DE SEGURIDAD DE LA INFORMACIÓN Introducción a la ISO27001
Porqué es importante • “…preserva la confidencialidad, integridad y disponibilidad de la información aplicando un proceso de gestión de riesgos…” • Fuente: ISO/IEC 27001:2013
Que significa Especificación Requerimientos exactos Documentos explícitos 114 Controles 14 áreas de dominio Creada por International Organization fo Standarization (ISO) International Electrotechnical Commission (IEC) Relacionado con Sistemas de gestión para Seguridad de la información & gestión de riesgos
Diferencias ISO/IEC 27001 e ISO/IEC 27002 • ISO/IEC 27001 – Estándar internacional – Certificable • ISO/IEC 27002 – Código de práctica – No certificable
Controles y dominios # Dominio Controles 1 Políticas de seguridad de la información 2 2 Organización de la seguridad de la información 7 3 Seguridad del recurso humano 6 4 Manejo de activos 10 5 Control de acceso 14 6 Criptografía 2 7 Seguridad física y ambiental 15 # Dominio Controles 8 Seguridad de las operaciones 14 9 Seguridad de las comunicaciones 7 10 Adquisición, desarrollo y mto. de sistemas 13 11 Relaciones con el proveedor 5 12 Gestión de incidentes de SI 7 13 Aspectos de continuidad de negocio de SI 4 14 Cumplimiento 8
Que es Seguridad de la Información
Aspecto 1: Confidencialidad • Uno no quiere que otra persona se gaste el dinero de uno, o al menos no alguien que no tenga el permiso de hacerlo. • Esto quiere decir que se limite el acceso al dinero, o considerar el dinero como algo confidencial.
Aspecto 2: Disponibilidad • Uno quiere gastar el dinero cuando uno quiere hacerlo. • Esto quiere decir que uno valora la disponibilidad del dinero y no solo eso, se necesita que este disponible en un formato que se pueda usar.
Aspecto 3: Integridad • Cuando uno recoge el dinero, a uno le gusta saber que su dinero se pueda asegurar que no es falso.
Resumiendo… • la valoración de la información depende de estos tres aspectos. • Las organizaciones deben introducir una serie de políticas y procedimientos que les proporcionarán aseguramiento de estos tres aspectos. • Sistema de gestión de seguridad de la información (SGSI).
Y esto que importa? • La dependencia tecnológica ha generado que la seguridad de la información sea un tema de alta importancia. • No es solo algo que se relaciona con el manejo, almacenamiento o transporte de la misma. • Las personas quieren que la información sea manejada y protegida de forma apropiada. • Las compañías son manejadas por los requisitos de sus clientes y socios y requieren permanecer competitivas. • La seguridad de la información es una ventaja competitiva. • Un SGSI le permitirá entender el verdadero valor que tiene la información para sus empresas.
INTRODUCCIÓN A LA ISO27001 ISO 27001 y los requisitos de administración
Requisitos de Administración del Sistema • El diseño de un SGSI se fundamenta en el modelo PHVA, mediante el cual se estructuran las tareas para diseñar un sistema de gestión adecuado. • El ciclo P-H-V-A puede ser resumido como: – Planear lo que se requiere hacer para lograr el objetivo – Hacer lo que se ha planeado – Verificar que lo que se ha hecho cumple con lo que se ha planeado lograr e identificar las brechas y defectos. – Actuar con base en los hallazgos de la fase de planeación para atender las brechas y/o mejorar la eficiencia y la efectividad de lo que se ha puesto en marcha.
Requisitos del SGSI • Hay un número de requisitos para que el sistema de administración opere que son aplicables al SGSI así como a cualquier otro sistema de administración, e incluyen: – Control de Documentación – Control de registros – Auditoría Interna – Revisión Administrativa
Control de Documentación – Acuerdo para definir la disponibilidad de los documentos del SGSI, los cuales incluyen: • Las políticas a nivel corporativo. • Los procedimientos. • Instrucciones de trabajo. • Formas de captura de información. – Asegurar que todos estos documentos que han sido escritos y aprobados por el personal indicado y que solo las últimas versiones aprobadas están disponibles.
Control de Registros • Esto significa proteger la confidencialidad, integridad y disponibilidad con el objeto de asegurar que solo pueden ser recuperados por el personal adecuado (autorizado) cuando se requieren y que son legibles y no se han modificado.
Auditoría Interna • La auditoría interna es comisionada por la organización, y proporciona una oportunidad para revisar el nivel de cumplimiento del SGSI mediante el examen de lo que ocurre. • El proceso de auditoría interna debería también informar la mejora continua del SGSI.
Revisión Administrativa • La revisión administrativa típicamente es conducida una vez cada seis o doce meses y esta diseñada para revisar la precisión de los objetivos alcanzados. • Típicamente se deben preparar un número de reportes para las reuniones, los cuales cubren los indicadores clave de cómo esta operando el SGSI. • Esta revisión también debe incluir el examen de cualquier medida de efectividad que haya sido desarrollada.
Introducción a la iso27001 Activos de Información y la Evaluación de Riesgos de la Seguridad de la Información
Activos de Información • El valor de cada activo es estimado por sus tres atributos de seguridad: – Confidencialidad – Integridad – Disponibilidad • El valor asignado a cada activo refleja el costo total a la organización si cada atributo es comprometido para el activo relacionado, desde el costo de reemplazo, hasta las consecuencias en los procesos que este involucra, a el impacto en la reputación de la organización.
Relación de Impacto • 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 × 𝐼𝑚𝑝𝑎𝑐𝑡𝑜 • El valor de probabilidad viene relacionado con la posibilidad de que una amenaza explote una debilidad o exposición, o, en términos de seguridad de la información, una vulnerabilidad.
Matriz de Evaluación de Riesgos
Evaluación de Riesgos • El objetivo principal de un SGSI es el de manejar todos los riesgos para tener un nivel consistente de control, y determinar donde se requiere que nivel de riesgo sea aceptable. • Los riesgos evaluados que caen en la categoría de nivel de riesgo aceptable se consideran y se toman decisiones de que hacer con cada uno.
Metodología de Respuesta de Riesgos 1. Aplicación de controles que reduzcan el riesgo. 1. Aceptar el riesgo; esto es determinado normalmente por el criterio de aceptación del riesgo, pero puede ser aplicado ocasionalmente aún si el nivel de riesgo esta por debajo de lo aceptable. 2. Evitar el riesgo identificando métodos de eliminación del riesgo. 3. Transferir el riesgo del negocio a un asegurador o proveedor.
Proceso de evaluación de riesgos • La toma de decisiones y aplicación de controles a los riesgos permite reevaluar el riesgo hasta que caiga en un criterio aceptable. • El SGSI debe asegurar que los controles seleccionados en el proceso de evaluación se aplican de manera efectiva a los activos identificados. • Esto le permite a una organización puede asegurarse de que se esta maximizando su efectividad de gastos en materia de seguridad de la información, y que no está dejando ninguna área de riesgo abierta a la explotación.
Introducción a la ISO27000 Controles de Seguridad de la Información
Controles y dominios # Dominio Controles 1 Políticas de seguridad de la información 2 2 Organización de la seguridad de la información 7 3 Seguridad del recurso humano 6 4 Manejo de activos 10 5 Control de acceso 14 6 Criptografía 2 7 Seguridad física y ambiental 15 # Dominio Controles 8 Seguridad de las operaciones 14 9 Seguridad de las comunicaciones 7 10 Adquisición, desarrollo y mto. de sistemas 13 11 Relaciones con el proveedor 5 12 Gestión de incidentes de SI 7 13 Aspectos de continuidad de negocio de SI 4 14 Cumplimiento 8 Procesos que implementan la seguridad Controles técnicos Actividades que implementan la seguridad de la información
Estructura de la Norma • En el estándar hay un total de 114 controles divididos en 11 categorías, pero para el propósito de familiarizarse con la norma, la vamos a dividir en 6 grupos. – Organización, estructura y recursos humanos – Activos, clasificación y control de acceso – Acceso físico – Desastres y Continuidad – Cumplimiento y Auditoría Interna
Organización, Estructura y Recursos Humanos • Definición de las políticas de seguridad de la información, las cuales son una declaración de los compromisos de la organización y los objetivos relacionados con seguridad de la información. • Los recursos humanos requeridos para realizar todas las tareas relacionadas y que afectan la seguridad de la organización necesitan ser identificadas y manejadas apropiadamente.
Activos, Clasificación y Control de Acceso • Los activos deben estar clasificados mediante un sistema de marcado, esta debe indicar el nivel de protección requerido y aquel que tiene los permisos de acceso a él. • El control de acceso busca garantizar que solo aquellos con el acceso aprobado a los activos pueden en realidad acceder a estos, y que esto esta sujeto tanto a barreras físicas como lógicas.
Acceso Físico • El acceso físico es, por supuesto, un problema para la seguridad de la información. • Cualquiera que tenga acceso a equipos o medios en los cuales la información está almacenada puede potencialmente salir de la organización con el activo y la información almacenada en este.
Redes y TI • La mas larga categoría de controles se relaciona con las operaciones de TI y la administración de la red. • Estos cubren asuntos que incluyen la planeación y pruebas de nuevos desarrollos antes de ser implementados, la planeación de la capacidad para todos los aspectos de la red y los sistemas, la segregación, el diseño de la red y administración de las vulnerabilidades técnicas.
Cuando las cosas salen mal (BC/DR) • Hay varias categorías que tratan el manejo de problemas, eventos y/o incidentes. • La severidad de las brechas de seguridad de la información pueden variar masivamente, si el problema probablemente signifique un desafío a la ejecución normal de las actividades u operaciones es deseable que se invoque alguna forma de continuidad de negocios. • Por supuesto, no todos los incidentes de seguridad requieren de una respuesta dramática, pero el grado de reacción y el método para determinar su escalamiento debe estar definido.
Auditoría Interna y Cumplimiento • Esta categoría es relativamente auto-explicativa: se refieren al cumplimiento legal y técnico. • La organización necesita estar al tanto de ellas, y cumplir con sus obligaciones legales.
Introducción a la ISO27001 Certificación
Proceso de Certificación • Las compañías que desean usar este estándar para demostrar la robustez en sus acuerdos de manejo de seguridad de la información necesitan estar sujetos a una auditoría externa. • Para que sea reconocido el aseguramiento proporcionado por el costo de la auditoría, la auditoría debe ser conducida en cumplimiento con el esquema reconocido; el cual es, el ‘esquema de acreditación certificado’.
Auditoría de Cumplimiento • Las auditorías son realizadas por cuerpos acreditados. • El esquema habilita a las organizaciones a demostrar un grado de aseguramiento en relación con sus prácticas de seguridad de la información. • Esta certificación significa que los clientes pueden confiar en la seguridad de la información, en lugar de insistir en enviar sus propios . • Para lograr la certificación, la organización debe tener un alcance definido de la extensión de su SGSI y la declaración de aplicabilidad (SoA). • Estos dos documentos, en conjunto, con el certificado de acreditación que proporciona la evidencia del nivel de aseguramiento que la administración del SGSI proporciona en relación con sus prácticas de seguridad de la información.
Proceso de auditoria En sitio • La auditoría se ejecuta en sus instalaciones y puede que sea en varios sitios dependiendo del alcance. Formal • Reunión de apertura • Plan de auditoria • Pruebas/Evidencias • Reunión de cierre Basado en muestras • El auditor no puede cubrir cada parte de la operación en el alcance en el tiempo estimado. Derecho a rectificación • Se puede no estar conforme con los hallazgos de la auditoria, todos los cuerpos de certificación tienen un proceso de apelación.
Hallazgos de auditoria • El SGSI está fundamentalmente mal • Certificación en riesgo No conformidad mayor • El SGSI está bien pero se tuvieron algunos hallazgos No conformidad menor • Sugerencias para mejorar el SGSI Oportunidad de mejora • Llamado a las mejores prácticas Esfuerzos notables • Cosas que el auditor ha identificado que pueden representar problemas en el futuro Observaciones

Recomendados

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 

Recomendados

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Ricardo Urbina Miranda
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Auditor interno iso 27001 2013
Auditor interno iso 27001 2013Auditor interno iso 27001 2013
Auditor interno iso 27001 2013ITICSEC
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Ricardo Urbina Miranda
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Iso 27000
Iso 27000Iso 27000
Iso 27000eliztkm
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Iso 27000
Iso 27000Iso 27000
Iso 27000elianasig
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsISOTools Excellence
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001Juan Fernando Jaramillo
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducciónmarlexchaya
 

Más contenido relacionado

La actualidad más candente

Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Ricardo Urbina Miranda
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Auditor interno iso 27001 2013
Auditor interno iso 27001 2013Auditor interno iso 27001 2013
Auditor interno iso 27001 2013ITICSEC
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Iso 27000
Iso 27000Iso 27000
Iso 27000eliztkm
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 

La actualidad más candente (20)

Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Auditor interno iso 27001 2013
Auditor interno iso 27001 2013Auditor interno iso 27001 2013
Auditor interno iso 27001 2013
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracle
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 

Similar a ISO27001 Introducción a la Gestión de Seguridad de la Información

1.1 introducción
1.1 introducción1.1 introducción
1.1 introducciónmarlexchaya
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPedroMarquez78
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoria de seguridad informatica.pptx
Auditoria de seguridad informatica.pptxAuditoria de seguridad informatica.pptx
Auditoria de seguridad informatica.pptxIvanhoeGarcia
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 

Similar a ISO27001 Introducción a la Gestión de Seguridad de la Información (20)

Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducción
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria de seguridad informatica.pptx
Auditoria de seguridad informatica.pptxAuditoria de seguridad informatica.pptx
Auditoria de seguridad informatica.pptx
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 

Último

PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 

Último (20)

PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 

ISO27001 Introducción a la Gestión de Seguridad de la Información

  • 1. GERENCIA ESTRATÉGICA DE SEGURIDAD DE LA INFORMACIÓN Introducción a la ISO27001
  • 2. Porqué es importante • “…preserva la confidencialidad, integridad y disponibilidad de la información aplicando un proceso de gestión de riesgos…” • Fuente: ISO/IEC 27001:2013
  • 3. Que significa Especificación Requerimientos exactos Documentos explícitos 114 Controles 14 áreas de dominio Creada por International Organization fo Standarization (ISO) International Electrotechnical Commission (IEC) Relacionado con Sistemas de gestión para Seguridad de la información & gestión de riesgos
  • 4. Diferencias ISO/IEC 27001 e ISO/IEC 27002 • ISO/IEC 27001 – Estándar internacional – Certificable • ISO/IEC 27002 – Código de práctica – No certificable
  • 5. Controles y dominios # Dominio Controles 1 Políticas de seguridad de la información 2 2 Organización de la seguridad de la información 7 3 Seguridad del recurso humano 6 4 Manejo de activos 10 5 Control de acceso 14 6 Criptografía 2 7 Seguridad física y ambiental 15 # Dominio Controles 8 Seguridad de las operaciones 14 9 Seguridad de las comunicaciones 7 10 Adquisición, desarrollo y mto. de sistemas 13 11 Relaciones con el proveedor 5 12 Gestión de incidentes de SI 7 13 Aspectos de continuidad de negocio de SI 4 14 Cumplimiento 8
  • 6. Que es Seguridad de la Información
  • 7. Aspecto 1: Confidencialidad • Uno no quiere que otra persona se gaste el dinero de uno, o al menos no alguien que no tenga el permiso de hacerlo. • Esto quiere decir que se limite el acceso al dinero, o considerar el dinero como algo confidencial.
  • 8. Aspecto 2: Disponibilidad • Uno quiere gastar el dinero cuando uno quiere hacerlo. • Esto quiere decir que uno valora la disponibilidad del dinero y no solo eso, se necesita que este disponible en un formato que se pueda usar.
  • 9. Aspecto 3: Integridad • Cuando uno recoge el dinero, a uno le gusta saber que su dinero se pueda asegurar que no es falso.
  • 10. Resumiendo… • la valoración de la información depende de estos tres aspectos. • Las organizaciones deben introducir una serie de políticas y procedimientos que les proporcionarán aseguramiento de estos tres aspectos. • Sistema de gestión de seguridad de la información (SGSI).
  • 11. Y esto que importa? • La dependencia tecnológica ha generado que la seguridad de la información sea un tema de alta importancia. • No es solo algo que se relaciona con el manejo, almacenamiento o transporte de la misma. • Las personas quieren que la información sea manejada y protegida de forma apropiada. • Las compañías son manejadas por los requisitos de sus clientes y socios y requieren permanecer competitivas. • La seguridad de la información es una ventaja competitiva. • Un SGSI le permitirá entender el verdadero valor que tiene la información para sus empresas.
  • 12. INTRODUCCIÓN A LA ISO27001 ISO 27001 y los requisitos de administración
  • 13. Requisitos de Administración del Sistema • El diseño de un SGSI se fundamenta en el modelo PHVA, mediante el cual se estructuran las tareas para diseñar un sistema de gestión adecuado. • El ciclo P-H-V-A puede ser resumido como: – Planear lo que se requiere hacer para lograr el objetivo – Hacer lo que se ha planeado – Verificar que lo que se ha hecho cumple con lo que se ha planeado lograr e identificar las brechas y defectos. – Actuar con base en los hallazgos de la fase de planeación para atender las brechas y/o mejorar la eficiencia y la efectividad de lo que se ha puesto en marcha.
  • 14. Requisitos del SGSI • Hay un número de requisitos para que el sistema de administración opere que son aplicables al SGSI así como a cualquier otro sistema de administración, e incluyen: – Control de Documentación – Control de registros – Auditoría Interna – Revisión Administrativa
  • 15. Control de Documentación – Acuerdo para definir la disponibilidad de los documentos del SGSI, los cuales incluyen: • Las políticas a nivel corporativo. • Los procedimientos. • Instrucciones de trabajo. • Formas de captura de información. – Asegurar que todos estos documentos que han sido escritos y aprobados por el personal indicado y que solo las últimas versiones aprobadas están disponibles.
  • 16. Control de Registros • Esto significa proteger la confidencialidad, integridad y disponibilidad con el objeto de asegurar que solo pueden ser recuperados por el personal adecuado (autorizado) cuando se requieren y que son legibles y no se han modificado.
  • 17. Auditoría Interna • La auditoría interna es comisionada por la organización, y proporciona una oportunidad para revisar el nivel de cumplimiento del SGSI mediante el examen de lo que ocurre. • El proceso de auditoría interna debería también informar la mejora continua del SGSI.
  • 18. Revisión Administrativa • La revisión administrativa típicamente es conducida una vez cada seis o doce meses y esta diseñada para revisar la precisión de los objetivos alcanzados. • Típicamente se deben preparar un número de reportes para las reuniones, los cuales cubren los indicadores clave de cómo esta operando el SGSI. • Esta revisión también debe incluir el examen de cualquier medida de efectividad que haya sido desarrollada.
  • 19. Introducción a la iso27001 Activos de Información y la Evaluación de Riesgos de la Seguridad de la Información
  • 20. Activos de Información • El valor de cada activo es estimado por sus tres atributos de seguridad: – Confidencialidad – Integridad – Disponibilidad • El valor asignado a cada activo refleja el costo total a la organización si cada atributo es comprometido para el activo relacionado, desde el costo de reemplazo, hasta las consecuencias en los procesos que este involucra, a el impacto en la reputación de la organización.
  • 21. Relación de Impacto • 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 × 𝐼𝑚𝑝𝑎𝑐𝑡𝑜 • El valor de probabilidad viene relacionado con la posibilidad de que una amenaza explote una debilidad o exposición, o, en términos de seguridad de la información, una vulnerabilidad.
  • 22. Matriz de Evaluación de Riesgos
  • 23. Evaluación de Riesgos • El objetivo principal de un SGSI es el de manejar todos los riesgos para tener un nivel consistente de control, y determinar donde se requiere que nivel de riesgo sea aceptable. • Los riesgos evaluados que caen en la categoría de nivel de riesgo aceptable se consideran y se toman decisiones de que hacer con cada uno.
  • 24. Metodología de Respuesta de Riesgos 1. Aplicación de controles que reduzcan el riesgo. 1. Aceptar el riesgo; esto es determinado normalmente por el criterio de aceptación del riesgo, pero puede ser aplicado ocasionalmente aún si el nivel de riesgo esta por debajo de lo aceptable. 2. Evitar el riesgo identificando métodos de eliminación del riesgo. 3. Transferir el riesgo del negocio a un asegurador o proveedor.
  • 25. Proceso de evaluación de riesgos • La toma de decisiones y aplicación de controles a los riesgos permite reevaluar el riesgo hasta que caiga en un criterio aceptable. • El SGSI debe asegurar que los controles seleccionados en el proceso de evaluación se aplican de manera efectiva a los activos identificados. • Esto le permite a una organización puede asegurarse de que se esta maximizando su efectividad de gastos en materia de seguridad de la información, y que no está dejando ninguna área de riesgo abierta a la explotación.
  • 26. Introducción a la ISO27000 Controles de Seguridad de la Información
  • 27. Controles y dominios # Dominio Controles 1 Políticas de seguridad de la información 2 2 Organización de la seguridad de la información 7 3 Seguridad del recurso humano 6 4 Manejo de activos 10 5 Control de acceso 14 6 Criptografía 2 7 Seguridad física y ambiental 15 # Dominio Controles 8 Seguridad de las operaciones 14 9 Seguridad de las comunicaciones 7 10 Adquisición, desarrollo y mto. de sistemas 13 11 Relaciones con el proveedor 5 12 Gestión de incidentes de SI 7 13 Aspectos de continuidad de negocio de SI 4 14 Cumplimiento 8 Procesos que implementan la seguridad Controles técnicos Actividades que implementan la seguridad de la información
  • 28. Estructura de la Norma • En el estándar hay un total de 114 controles divididos en 11 categorías, pero para el propósito de familiarizarse con la norma, la vamos a dividir en 6 grupos. – Organización, estructura y recursos humanos – Activos, clasificación y control de acceso – Acceso físico – Desastres y Continuidad – Cumplimiento y Auditoría Interna
  • 29. Organización, Estructura y Recursos Humanos • Definición de las políticas de seguridad de la información, las cuales son una declaración de los compromisos de la organización y los objetivos relacionados con seguridad de la información. • Los recursos humanos requeridos para realizar todas las tareas relacionadas y que afectan la seguridad de la organización necesitan ser identificadas y manejadas apropiadamente.
  • 30. Activos, Clasificación y Control de Acceso • Los activos deben estar clasificados mediante un sistema de marcado, esta debe indicar el nivel de protección requerido y aquel que tiene los permisos de acceso a él. • El control de acceso busca garantizar que solo aquellos con el acceso aprobado a los activos pueden en realidad acceder a estos, y que esto esta sujeto tanto a barreras físicas como lógicas.
  • 31. Acceso Físico • El acceso físico es, por supuesto, un problema para la seguridad de la información. • Cualquiera que tenga acceso a equipos o medios en los cuales la información está almacenada puede potencialmente salir de la organización con el activo y la información almacenada en este.
  • 32. Redes y TI • La mas larga categoría de controles se relaciona con las operaciones de TI y la administración de la red. • Estos cubren asuntos que incluyen la planeación y pruebas de nuevos desarrollos antes de ser implementados, la planeación de la capacidad para todos los aspectos de la red y los sistemas, la segregación, el diseño de la red y administración de las vulnerabilidades técnicas.
  • 33. Cuando las cosas salen mal (BC/DR) • Hay varias categorías que tratan el manejo de problemas, eventos y/o incidentes. • La severidad de las brechas de seguridad de la información pueden variar masivamente, si el problema probablemente signifique un desafío a la ejecución normal de las actividades u operaciones es deseable que se invoque alguna forma de continuidad de negocios. • Por supuesto, no todos los incidentes de seguridad requieren de una respuesta dramática, pero el grado de reacción y el método para determinar su escalamiento debe estar definido.
  • 34. Auditoría Interna y Cumplimiento • Esta categoría es relativamente auto-explicativa: se refieren al cumplimiento legal y técnico. • La organización necesita estar al tanto de ellas, y cumplir con sus obligaciones legales.
  • 35. Introducción a la ISO27001 Certificación
  • 36. Proceso de Certificación • Las compañías que desean usar este estándar para demostrar la robustez en sus acuerdos de manejo de seguridad de la información necesitan estar sujetos a una auditoría externa. • Para que sea reconocido el aseguramiento proporcionado por el costo de la auditoría, la auditoría debe ser conducida en cumplimiento con el esquema reconocido; el cual es, el ‘esquema de acreditación certificado’.
  • 37. Auditoría de Cumplimiento • Las auditorías son realizadas por cuerpos acreditados. • El esquema habilita a las organizaciones a demostrar un grado de aseguramiento en relación con sus prácticas de seguridad de la información. • Esta certificación significa que los clientes pueden confiar en la seguridad de la información, en lugar de insistir en enviar sus propios . • Para lograr la certificación, la organización debe tener un alcance definido de la extensión de su SGSI y la declaración de aplicabilidad (SoA). • Estos dos documentos, en conjunto, con el certificado de acreditación que proporciona la evidencia del nivel de aseguramiento que la administración del SGSI proporciona en relación con sus prácticas de seguridad de la información.
  • 38. Proceso de auditoria En sitio • La auditoría se ejecuta en sus instalaciones y puede que sea en varios sitios dependiendo del alcance. Formal • Reunión de apertura • Plan de auditoria • Pruebas/Evidencias • Reunión de cierre Basado en muestras • El auditor no puede cubrir cada parte de la operación en el alcance en el tiempo estimado. Derecho a rectificación • Se puede no estar conforme con los hallazgos de la auditoria, todos los cuerpos de certificación tienen un proceso de apelación.
  • 39. Hallazgos de auditoria • El SGSI está fundamentalmente mal • Certificación en riesgo No conformidad mayor • El SGSI está bien pero se tuvieron algunos hallazgos No conformidad menor • Sugerencias para mejorar el SGSI Oportunidad de mejora • Llamado a las mejores prácticas Esfuerzos notables • Cosas que el auditor ha identificado que pueden representar problemas en el futuro Observaciones