SlideShare una empresa de Scribd logo

ISO 27002 Seguridad Información

Descargar como PPTX, PDF
A
Alexys Rodriguez
1 de 36
ISO/IEC 27002 Integrantes: Rojas Carlos José Alexys Rodríguez Maestría en gerencia
¿Qué es la Seguridad Informática? Es el área de la informática que se enfoca en la protección de la infraestructura computacional (ACTIVOS) y todo lo relacionado con esta incluyendo la información contenida. La seguridad informática comprende: SEGURIDAD INFORMÁTICA SOFTWARE BASE DE DATOS ARCHIVOS METADATOS
La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran: • Acceso • Pérdida La información • Fallas • Robos • Entre otros Infraestructura • Establecer las normas que minimicen el riesgo Usuarios
Seguridad de la información La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la confidencialidad, integridad y disponibilidad.
El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la: Confidencialidad Solo las personas autorizadas tendrán acceso a la información Integridad Salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad Garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella cada vez que se requiera.
Asegura que la información es accesible sólo a las personas autorizadas a usarla, leerla o escucharla. Su objetivo es proteger la información contra accesos o divulgación no autorizadas. (control de accesos). La falta de confidencialidad puede darse por indiscreciones voluntarias e involuntarias en cualquier tipo de soporte (digital o papel).
La no implementación de la confidencialidad puede tener las siguientes consecuencias: Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros. Pérdidas de fondos patrimoniales: Datos o programas no recuperables Información confidencial Daños perjudiciales tanto software como hardware
La medida principal, de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesos lógicos. En su diseño se deben de tener en cuenta las siguientes consideraciones: Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificación, registros) Inhabilitación del acceso por inactividad del computador , utilización de protectores de pantalla con clave. Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción (sirve también como pista de auditoria), terminal, fecha y hora.
Garantizar Velar Puede darse por errores en la captura o validación de la información, por un mal funcionamiento del sistema, mala voluntad (transacción aceptada pero no autorizada, archivo alterado fraudulentamente, etc.)
La no implementación de la integridad puede tener las siguientes consecuencias: Pérdidas de fondos patrimoniales: Datos o programas no recuperables información confidencial Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros Pérdidas cualitativas en distintos campos: Credibilidad Prestigio Imagen
Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la falta de integridad de la información del S.I., son: •La detección y tratamiento de errores. •La implantación de pistas de auditoria.
En el ámbito de la detección y tratamiento de errores es necesario diseñar los controles que permitan: Garantizar la integridad de los datos en la entrada, edición y validación. Identificar los posibles errores, establecer sus consecuencias y las acciones correctoras a realizar Establecer la realización de pruebas para asegurar que se mantiene la integridad de archivos después de un fallo de programa . Diseñar los procedimientos de conversión que permitan: Planificar la implantación del nuevo sistema en paralelo con el anterior, previendo la disponibilidad de copias de seguridad y planificando las marchas atrás . En fin, garantizar que no se pierde información, que no se duplica y que la integridad de las bases de datos no haya sido afectada.
En el ámbito de la implantación de pistas de auditoria: Establecer las pistas de auditoría necesarias para verificar el flujo de las diversas transacciones por los procesos del SI de forma que se posibilite el seguimiento de las transacciones . Definir campos de datos y registros para las pistas de auditoría, y su forma de almacenamiento.
Asegura que los usuarios autorizados tienen acceso en todo momento a la información cuando es requerida.
La indisponibilidad de datos, informaciones y del sistema de información, sin elementos alternativos que permitan la continuidad del servicio, puede provocar las siguientes consecuencias: •Pérdidas de información vital •Retardo en los procesos de la organización •Inconformidad de los usuarios
Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la indisponibilidad de alguno de los elementos del SI, son : •La salvaguarda de los datos. •Respaldo en dispositivos de almacenamiento. A fin de cumplir con este principio, se debe actuar de modo previsible de tal forma que el SI sea capaz de recuperarse de interrupciones de manera rápida y segura, a fin de que la productividad no se vea afectada negativamente.
En la salvaguarda de datos: Establecer la política a seguir y diseñar los procedimientos para la realización de las copias de seguridad de la información y los programas del SI, con la periodicidad que se estime necesaria para garantizar la recuperación de la misma a la situación anterior a detectar cualquier incidencia. Diseñar los procedimientos de recuperación de las copias anteriores para cada base de datos, librerías del programa.
En el respaldo de elementos periféricos: Estudiar las consecuencias de indisponibilidad o fallos en el hardware como impresoras, terminales, servidores, servicios esenciales (energía eléctrica), comunicaciones -y diseñar los procedimientos de respaldo que permitan la continuidad del servicio con medios alternativos.
www.iso27002.es
Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management.
Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799- 1 que fue publicado por primera vez en 1995.
www.iso27002.es
Posibles controles relacionados a tener en cuenta: 10.4. Protección contra software malicioso y código móvil 10.6 Gestión de redes 11.4 Control de acceso en red 12.3 Controles criptográficos www.iso27002.es
Posibles controles relacionados a tener en cuenta : 5.1.1 Documento de política de seguridad de la información 08. Seguridad ligada a los Recursos Humanos 9.2.5 Seguridad de equipos fuera de los locales de la Organización 10.4. Protección contra software malicioso y código móvil 10.8 Intercambio de información y software 11.2 Gestión de acceso de usuario 11.3 Responsabilidades del usuario 11.7 Informática móvil y teletrabajo 12.3 Controles criptográficoswww.iso27002.es
Posibles controles relacionados a tener en cuenta: 9.2.5 Seguridad de equipos fuera de los locales de la Organización 9.2.6 Seguridad en la reutilización o eliminación de equipos 9.2.7 Traslado de activos 10.5 Gestión interna de soportes y recuperación 10.7 Utilización y seguridad de los soportes de información 10.8 Intercambio de información y software 10.9.3 Seguridad en información pública 12.3 Controles criptográficos www.iso27002.es
Posibles controles relacionados a tener en cuenta: 6.2 Terceros 10.2 Supervisión de los servicios contratados a terceros 10.8.3 Soportes físicos en tránsito 10.8.5 Sistemas de información empresariales 10.9 Servicios de comercio electrónico 99.1 Cloud Computing www.iso27002.es
Posibles controles relacionados a tener en cuenta: 9.1 Áreas seguras 9.2.1 Instalación y protección de equipos 9.2.2 Suministro eléctrico 9.2.3 Seguridad del cableado 9.2.4 Mantenimiento de equipos www.iso27002.es
Posibles controles relacionados a tener en cuenta : 9.2.4 Mantenimiento de equipos 10.1 Procedimientos y responsabilidades de operación 10.3. Planificación y aceptación del sistema 10.5 Gestión interna de soportes y recuperación 10.7 Utilización y seguridad de los soportes de información 10.10. Monitorización 12.2 Seguridad de las aplicaciones del sistema 12.4 Seguridad de los ficheros del sistema 12.5. Seguridad en los procesos de desarrollo y soporte 12.6. Gestión de las vulnerabilidades técnicas 13. Gestión de Incidentes de Seguridad de la Información 15.2. Revisiones de la política de seguridad y de la conformidad técnica 15.3. Consideraciones sobre la auditoria de sistemas www.iso27002.es
Posibles controles relacionados a tener en cuenta: 6.2.1. Identificación de los riesgos derivados del acceso de terceros 9.2 Seguridad de los equipos 10.3 Planificación y aceptación del sistema 10.4 Protección contra software malicioso y código móvil 10.10 Monitorización 11.6.2 Aislamiento de sistemas sensibles 11.3.2.Equipo informático de usuario desatendido 11.3.3 Políticas para escritorios y monitores sin información www.iso27002.es
Posibles controles relacionados a tener en cuenta : 6.2.2 Tratamiento de la seguridad en la relación con los clientes 10.4 Protección contra software malicioso y código móvil 10.5 Gestión interna de soportes y recuperación 10.8.1 Políticas y procedimientos de intercambio de información y software 10.8.5 Sistemas de información empresariales 10.9 Servicios de comercio electrónico 11.2 Gestión de acceso de usuario 11.5 Control de acceso al sistema operativo 11.6 Control de acceso a las aplicaciones 12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 15.3.2 Protección de las herramientas de auditoria de sistemas www.iso27002.es
Posibles controles relacionados a tener en cuenta: 6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de los riesgos derivados del acceso de terceros 07. Gestión de Activos 8.3.2 Restitución de activos 9.1 Áreas seguras 9.2.7 Traslado de activos 10.1.1 Documentación de procedimientos operativos 10.5.1 Recuperación de la información 10.7 Utilización y seguridad de los soportes de información 10.8.1 Políticas y procedimientos de intercambio de información y software 10.8.2.Acuerdos de intercambio 11.7.2 Teletrabajo. www.iso27002.es
Posibles controles relacionados a tener en cuenta: 05. Política de Seguridad 6.1 Organización Interna 07. Gestión de Activos 10.1 Procedimientos y responsabilidades de operación 11.1 Requerimientos de negocio para el control de accesos 12.1 Requisitos de seguridad de los sistemas 12.3 Controles criptográficos 13. Gestión de Incidentes de Seguridad de la Información 14. Gestión de Continuidad del Negocio 15.1 Conformidad con los requisitos legales www.iso27002.es
Posibles controles relacionados a tener en cuenta: 5.1.1 Documento de política de seguridad de la información 08. Seguridad ligada a los Recursos Humanos 10.1 Procedimientos y responsabilidades de operación 11.2 Gestión de acceso de usuario 11.3 Responsabilidades del usuario 13.1 Comunicación de eventos y debilidades en la seguridad de la información www.iso27002.es
Técnicamente es imposible lograr un sistema de información ciento por ciento seguro, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.

Recomendados

Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupaljose_calero
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVal Glizz Ayala Cifuentes
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la informacióndiana_16852
 

Recomendados

Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupaljose_calero
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVal Glizz Ayala Cifuentes
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la informacióndiana_16852
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadAriel Brigido Lopez Villegas
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centersCarlos Joa
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
MINEDU: Informe remodelación data center
MINEDU: Informe remodelación data centerMINEDU: Informe remodelación data center
MINEDU: Informe remodelación data centerJack Daniel Cáceres Meza
 
5to dominio.
5to dominio.5to dominio.
5to dominio.Angela Gutierrez Vilca
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos claseRoberto_Mendez
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)Tito98Porto
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Unidad 2: Seguridad física
Unidad 2: Seguridad físicaUnidad 2: Seguridad física
Unidad 2: Seguridad físicacarmenrico14
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Data center (clase 1)
Data center (clase 1)Data center (clase 1)
Data center (clase 1)Idinio Yober Raymundez
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Glosario
GlosarioGlosario
GlosarioAlexander Alfaro
 
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidadSoluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidadEloy M. Rodriguez
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 

Más contenido relacionado

La actualidad más candente

Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centersCarlos Joa
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos claseRoberto_Mendez
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)Tito98Porto
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
Unidad 2: Seguridad física
Unidad 2: Seguridad físicaUnidad 2: Seguridad física
Unidad 2: Seguridad físicacarmenrico14
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidadSoluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidadEloy M. Rodriguez
 

La actualidad más candente (18)

Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centers
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
 
MINEDU: Informe remodelación data center
MINEDU: Informe remodelación data centerMINEDU: Informe remodelación data center
MINEDU: Informe remodelación data center
 
5to dominio.
5to dominio.5to dominio.
5to dominio.
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos clase
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica
 
Cap6
Cap6Cap6
Cap6
 
Unidad 2: Seguridad física
Unidad 2: Seguridad físicaUnidad 2: Seguridad física
Unidad 2: Seguridad física
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
Data center (clase 1)
Data center (clase 1)Data center (clase 1)
Data center (clase 1)
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióN
 
Glosario
GlosarioGlosario
Glosario
 
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidadSoluciones Oracle para el cumplimiento de laLOPD en sanidad
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
 

Destacado

Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Jöse Manüel
 
Marco de referencia ISO 9000
Marco de referencia ISO 9000Marco de referencia ISO 9000
Marco de referencia ISO 9000jjjeeefff
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
DOITsmart.es - Convergencia CALIDAD TIC
DOITsmart.es - Convergencia CALIDAD TICDOITsmart.es - Convergencia CALIDAD TIC
DOITsmart.es - Convergencia CALIDAD TICITsencial
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 

Destacado (20)

Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática
 
Marco de referencia ISO 9000
Marco de referencia ISO 9000Marco de referencia ISO 9000
Marco de referencia ISO 9000
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
DOITsmart.es - Convergencia CALIDAD TIC
DOITsmart.es - Convergencia CALIDAD TICDOITsmart.es - Convergencia CALIDAD TIC
DOITsmart.es - Convergencia CALIDAD TIC
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 

Similar a ISO 27002 Seguridad Información

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadRosaly Mendoza
 
Clase 1
Clase 1Clase 1
Clase 1UPTM
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799ludemer
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRHelpSystems
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas OperativosConcreto 3
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimhgio_vani
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Christian C
 
Resumen de las unidades de informática
Resumen de las unidades de informáticaResumen de las unidades de informática
Resumen de las unidades de informáticaYiyi143593
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
Seguridad en computo en la nube
Seguridad en computo en la nubeSeguridad en computo en la nube
Seguridad en computo en la nubeJazmin Glez.
 

Similar a ISO 27002 Seguridad Información (20)

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
 
Clase 1
Clase 1Clase 1
Clase 1
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas Operativos
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimh
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.
 
Resumen de las unidades de informática
Resumen de las unidades de informáticaResumen de las unidades de informática
Resumen de las unidades de informática
 
Septima U
Septima USeptima U
Septima U
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad en computo en la nube
Seguridad en computo en la nubeSeguridad en computo en la nube
Seguridad en computo en la nube
 
Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10
 

ISO 27002 Seguridad Información

  • 1. ISO/IEC 27002 Integrantes: Rojas Carlos José Alexys Rodríguez Maestría en gerencia
  • 2. ¿Qué es la Seguridad Informática? Es el área de la informática que se enfoca en la protección de la infraestructura computacional (ACTIVOS) y todo lo relacionado con esta incluyendo la información contenida. La seguridad informática comprende: SEGURIDAD INFORMÁTICA SOFTWARE BASE DE DATOS ARCHIVOS METADATOS
  • 3. La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran: • Acceso • Pérdida La información • Fallas • Robos • Entre otros Infraestructura • Establecer las normas que minimicen el riesgo Usuarios
  • 4.
  • 5. Seguridad de la información La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la confidencialidad, integridad y disponibilidad.
  • 6. El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la: Confidencialidad Solo las personas autorizadas tendrán acceso a la información Integridad Salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad Garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella cada vez que se requiera.
  • 7.
  • 8. Asegura que la información es accesible sólo a las personas autorizadas a usarla, leerla o escucharla. Su objetivo es proteger la información contra accesos o divulgación no autorizadas. (control de accesos). La falta de confidencialidad puede darse por indiscreciones voluntarias e involuntarias en cualquier tipo de soporte (digital o papel).
  • 9. La no implementación de la confidencialidad puede tener las siguientes consecuencias: Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros. Pérdidas de fondos patrimoniales: Datos o programas no recuperables Información confidencial Daños perjudiciales tanto software como hardware
  • 10. La medida principal, de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesos lógicos. En su diseño se deben de tener en cuenta las siguientes consideraciones: Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificación, registros) Inhabilitación del acceso por inactividad del computador , utilización de protectores de pantalla con clave. Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción (sirve también como pista de auditoria), terminal, fecha y hora.
  • 11. Garantizar Velar Puede darse por errores en la captura o validación de la información, por un mal funcionamiento del sistema, mala voluntad (transacción aceptada pero no autorizada, archivo alterado fraudulentamente, etc.)
  • 12. La no implementación de la integridad puede tener las siguientes consecuencias: Pérdidas de fondos patrimoniales: Datos o programas no recuperables información confidencial Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros Pérdidas cualitativas en distintos campos: Credibilidad Prestigio Imagen
  • 13. Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la falta de integridad de la información del S.I., son: •La detección y tratamiento de errores. •La implantación de pistas de auditoria.
  • 14. En el ámbito de la detección y tratamiento de errores es necesario diseñar los controles que permitan: Garantizar la integridad de los datos en la entrada, edición y validación. Identificar los posibles errores, establecer sus consecuencias y las acciones correctoras a realizar Establecer la realización de pruebas para asegurar que se mantiene la integridad de archivos después de un fallo de programa . Diseñar los procedimientos de conversión que permitan: Planificar la implantación del nuevo sistema en paralelo con el anterior, previendo la disponibilidad de copias de seguridad y planificando las marchas atrás . En fin, garantizar que no se pierde información, que no se duplica y que la integridad de las bases de datos no haya sido afectada.
  • 15. En el ámbito de la implantación de pistas de auditoria: Establecer las pistas de auditoría necesarias para verificar el flujo de las diversas transacciones por los procesos del SI de forma que se posibilite el seguimiento de las transacciones . Definir campos de datos y registros para las pistas de auditoría, y su forma de almacenamiento.
  • 16. Asegura que los usuarios autorizados tienen acceso en todo momento a la información cuando es requerida.
  • 17. La indisponibilidad de datos, informaciones y del sistema de información, sin elementos alternativos que permitan la continuidad del servicio, puede provocar las siguientes consecuencias: •Pérdidas de información vital •Retardo en los procesos de la organización •Inconformidad de los usuarios
  • 18. Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la indisponibilidad de alguno de los elementos del SI, son : •La salvaguarda de los datos. •Respaldo en dispositivos de almacenamiento. A fin de cumplir con este principio, se debe actuar de modo previsible de tal forma que el SI sea capaz de recuperarse de interrupciones de manera rápida y segura, a fin de que la productividad no se vea afectada negativamente.
  • 19. En la salvaguarda de datos: Establecer la política a seguir y diseñar los procedimientos para la realización de las copias de seguridad de la información y los programas del SI, con la periodicidad que se estime necesaria para garantizar la recuperación de la misma a la situación anterior a detectar cualquier incidencia. Diseñar los procedimientos de recuperación de las copias anteriores para cada base de datos, librerías del programa.
  • 20. En el respaldo de elementos periféricos: Estudiar las consecuencias de indisponibilidad o fallos en el hardware como impresoras, terminales, servidores, servicios esenciales (energía eléctrica), comunicaciones -y diseñar los procedimientos de respaldo que permitan la continuidad del servicio con medios alternativos.
  • 22. Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management.
  • 23. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799- 1 que fue publicado por primera vez en 1995.
  • 25. Posibles controles relacionados a tener en cuenta: 10.4. Protección contra software malicioso y código móvil 10.6 Gestión de redes 11.4 Control de acceso en red 12.3 Controles criptográficos www.iso27002.es
  • 26. Posibles controles relacionados a tener en cuenta : 5.1.1 Documento de política de seguridad de la información 08. Seguridad ligada a los Recursos Humanos 9.2.5 Seguridad de equipos fuera de los locales de la Organización 10.4. Protección contra software malicioso y código móvil 10.8 Intercambio de información y software 11.2 Gestión de acceso de usuario 11.3 Responsabilidades del usuario 11.7 Informática móvil y teletrabajo 12.3 Controles criptográficoswww.iso27002.es
  • 27. Posibles controles relacionados a tener en cuenta: 9.2.5 Seguridad de equipos fuera de los locales de la Organización 9.2.6 Seguridad en la reutilización o eliminación de equipos 9.2.7 Traslado de activos 10.5 Gestión interna de soportes y recuperación 10.7 Utilización y seguridad de los soportes de información 10.8 Intercambio de información y software 10.9.3 Seguridad en información pública 12.3 Controles criptográficos www.iso27002.es
  • 28. Posibles controles relacionados a tener en cuenta: 6.2 Terceros 10.2 Supervisión de los servicios contratados a terceros 10.8.3 Soportes físicos en tránsito 10.8.5 Sistemas de información empresariales 10.9 Servicios de comercio electrónico 99.1 Cloud Computing www.iso27002.es
  • 29. Posibles controles relacionados a tener en cuenta: 9.1 Áreas seguras 9.2.1 Instalación y protección de equipos 9.2.2 Suministro eléctrico 9.2.3 Seguridad del cableado 9.2.4 Mantenimiento de equipos www.iso27002.es
  • 30. Posibles controles relacionados a tener en cuenta : 9.2.4 Mantenimiento de equipos 10.1 Procedimientos y responsabilidades de operación 10.3. Planificación y aceptación del sistema 10.5 Gestión interna de soportes y recuperación 10.7 Utilización y seguridad de los soportes de información 10.10. Monitorización 12.2 Seguridad de las aplicaciones del sistema 12.4 Seguridad de los ficheros del sistema 12.5. Seguridad en los procesos de desarrollo y soporte 12.6. Gestión de las vulnerabilidades técnicas 13. Gestión de Incidentes de Seguridad de la Información 15.2. Revisiones de la política de seguridad y de la conformidad técnica 15.3. Consideraciones sobre la auditoria de sistemas www.iso27002.es
  • 31. Posibles controles relacionados a tener en cuenta: 6.2.1. Identificación de los riesgos derivados del acceso de terceros 9.2 Seguridad de los equipos 10.3 Planificación y aceptación del sistema 10.4 Protección contra software malicioso y código móvil 10.10 Monitorización 11.6.2 Aislamiento de sistemas sensibles 11.3.2.Equipo informático de usuario desatendido 11.3.3 Políticas para escritorios y monitores sin información www.iso27002.es
  • 32. Posibles controles relacionados a tener en cuenta : 6.2.2 Tratamiento de la seguridad en la relación con los clientes 10.4 Protección contra software malicioso y código móvil 10.5 Gestión interna de soportes y recuperación 10.8.1 Políticas y procedimientos de intercambio de información y software 10.8.5 Sistemas de información empresariales 10.9 Servicios de comercio electrónico 11.2 Gestión de acceso de usuario 11.5 Control de acceso al sistema operativo 11.6 Control de acceso a las aplicaciones 12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 15.3.2 Protección de las herramientas de auditoria de sistemas www.iso27002.es
  • 33. Posibles controles relacionados a tener en cuenta: 6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de los riesgos derivados del acceso de terceros 07. Gestión de Activos 8.3.2 Restitución de activos 9.1 Áreas seguras 9.2.7 Traslado de activos 10.1.1 Documentación de procedimientos operativos 10.5.1 Recuperación de la información 10.7 Utilización y seguridad de los soportes de información 10.8.1 Políticas y procedimientos de intercambio de información y software 10.8.2.Acuerdos de intercambio 11.7.2 Teletrabajo. www.iso27002.es
  • 34. Posibles controles relacionados a tener en cuenta: 05. Política de Seguridad 6.1 Organización Interna 07. Gestión de Activos 10.1 Procedimientos y responsabilidades de operación 11.1 Requerimientos de negocio para el control de accesos 12.1 Requisitos de seguridad de los sistemas 12.3 Controles criptográficos 13. Gestión de Incidentes de Seguridad de la Información 14. Gestión de Continuidad del Negocio 15.1 Conformidad con los requisitos legales www.iso27002.es
  • 35. Posibles controles relacionados a tener en cuenta: 5.1.1 Documento de política de seguridad de la información 08. Seguridad ligada a los Recursos Humanos 10.1 Procedimientos y responsabilidades de operación 11.2 Gestión de acceso de usuario 11.3 Responsabilidades del usuario 13.1 Comunicación de eventos y debilidades en la seguridad de la información www.iso27002.es
  • 36. Técnicamente es imposible lograr un sistema de información ciento por ciento seguro, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.