SlideShare una empresa de Scribd logo

Claconsi 2012 bsi-lecciones aprendidas sgsi

Descargar como PPT, PDF
Maricarmen García de Ureña
Maricarmen García de Ureña

El documento presenta lecciones aprendidas de empresas que han implementado sistemas de gestión de seguridad de la información bajo el estándar ISO 27001. Entre las lecciones se encuentran: 1) No considerar solo los controles de seguridad sino también los elementos clave del sistema, 2) Seleccionar adecuadamente el método de análisis de riesgos, 3) Cumplir con la normativa aplicable además de la certificación.

Empresariales
1 de 23
Octubre, 2009 Expositor: Maricarmen García Risk Product Manager BSI Group México Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el estándar ISO 27001
• Introducción • Lecciones aprendidas por empresas que han implementado y certificado • Reflexiones Agenda:
Introducción
Introducción Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
Introducción Un SGSI cuenta con una estructura específica y constituido con ciertos elementos claves.
Introducción Una vez contemplado el alcance, límites y objetivos de un SGSI, los elementos clave, como punto de partida de una implementación adecuada son principalmente: 1. Identificación de Activos 2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad) 1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
Introducción 4. Declaración de aplicabilidad - SoA (Selección de controles del Anexo A, para riesgos que se han decidido controlar) 4. Implementación de Controles declarados en el SoA 5. Política del SGSI 6. Documentación y registros específicos del SGSI
Introducción 8. Procesos y políticas del SGSI 9. Procedimientos de Auditorías Internas 10. Procedimientos de acciones preventivas y correctivas 11. Revisiones de la dirección
Lecciones aprendidas
Lecciones aprendidas por empresas que han implementado y certificado • Lección 1. Creer que la implementación de controles de seguridad es “el todo” sin considerar los elementos clave de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 2. Una buena selección de un método de análisis de riesgos asegura el cumplimiento de una adecuada implementación de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 3. Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones del cumplimiento legal o regulatorio aplicable a las mismas.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 4. Es un error considerar que mientras un SGSI cuente con la mayor parte de los 133 controles señalados en el ISO 27001, se garantiza una mejor seguridad de la información.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 5. Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de una implementación
Lecciones aprendidas por empresas que han implementado y certificado • Lección 6. La concientización en seguridad de la información es un proceso continuo que mediante un programa de formación permite formar una cultura en seguridad de la información en el activo más valioso de información (gente) de las empresas.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 7. Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la empresa.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 8. Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento mediante auditorías de mantenimiento al SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 9. Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un incidente se pueda seguir operando considerando los temas de seguridad que le corresponda tratar.
Reflexiones
Reflexiones ¿Si la información de nuestra organización es de interés público, debe darse a conocer? Al dar a conocer el logro de una implementación o la obtención de un certificado de registro de un SGSI ¿qué implicaciones tiene?
Gracias
BSI Líder Global • Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países • Líder en auditorías y certificaciones de:  Continuidad del Negocio – BS 25999  Seguridad de la Información – ISO/IEC 27001  Gestión de Servicios TI – ISO/IEC 20000  Calidad – ISO 9001  Gestión Ambiental – ISO 14001  Automotriz – ISO/TS 16949  Aeroespacial – AS9100  Salud y Seguridad – OHSAS 18001  Alimentos – ISO 22000
Contáctenos Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal +52 (55) 5241 1370 +52 (55) 5241 1371 23 Oficina Monterrey, Nuevo León Torre Capitel Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908 Monterrey, NL +52 (81) 8155 6100 +52 (81) 8155 6105 informacion.msmexico@bsigroup.com www.bsigroup.com.mx

Recomendados

ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist QuestionsISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questionshimalya sharma
 
Cyber 101: An introduction to privileged access management
Cyber 101: An introduction to privileged access managementCyber 101: An introduction to privileged access management
Cyber 101: An introduction to privileged access managementseadeloitte
 
ISO/IEC 27001 and ISO 22301: How do they map?
ISO/IEC 27001 and ISO 22301: How do they map?ISO/IEC 27001 and ISO 22301: How do they map?
ISO/IEC 27001 and ISO 22301: How do they map?PECB
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and CertificationControlCase
 
Bootcamp Certificación AWS Cloud Practitioner
Bootcamp Certificación AWS Cloud PractitionerBootcamp Certificación AWS Cloud Practitioner
Bootcamp Certificación AWS Cloud PractitionerRicardo Daniel Ceci
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 BenefitsDejan Kosutic
 

Recomendados

ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist QuestionsISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questionshimalya sharma
 
Cyber 101: An introduction to privileged access management
Cyber 101: An introduction to privileged access managementCyber 101: An introduction to privileged access management
Cyber 101: An introduction to privileged access managementseadeloitte
 
ISO/IEC 27001 and ISO 22301: How do they map?
ISO/IEC 27001 and ISO 22301: How do they map?ISO/IEC 27001 and ISO 22301: How do they map?
ISO/IEC 27001 and ISO 22301: How do they map?PECB
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and CertificationControlCase
 
Bootcamp Certificación AWS Cloud Practitioner
Bootcamp Certificación AWS Cloud PractitionerBootcamp Certificación AWS Cloud Practitioner
Bootcamp Certificación AWS Cloud PractitionerRicardo Daniel Ceci
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 BenefitsDejan Kosutic
 
ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSReza Teynia ISMS, ITSM, MSc
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awarenessÃsħâr Ãâlâm
 
Building an Enterprise MDM Strategy
Building an Enterprise MDM StrategyBuilding an Enterprise MDM Strategy
Building an Enterprise MDM StrategySalesforce Developers
 
e-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Servicese-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Servicese-Zest Solutions
 
Building an Effective Identity Management Strategy
Building an Effective Identity Management StrategyBuilding an Effective Identity Management Strategy
Building an Effective Identity Management StrategyNetIQ
 
SOC Certification Runbook Template
SOC Certification Runbook TemplateSOC Certification Runbook Template
SOC Certification Runbook TemplateMark S. Mahre
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access ManagementPrashanth BS
 
Who Commits Fraud
Who Commits Fraud Who Commits Fraud
Who Commits Fraud Gelman, Rosenberg & Freedman CPAs
 
Cobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoCobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoFernando Palma
 
NIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram PosterNIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram PosterMark Stafford
 
Implement cobit in your organization
Implement cobit in your organizationImplement cobit in your organization
Implement cobit in your organizationCheikh Hamallah DJIBA
 
CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2Eric Govani
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
GRC Fundamentals
GRC FundamentalsGRC Fundamentals
GRC Fundamentals3Sixty Insights
 
The Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity ModelThe Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity ModelSarah Moore
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsPECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad InformaticaRamón Segura Garijo
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 

Más contenido relacionado

La actualidad más candente

NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA
 
e-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Servicese-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Servicese-Zest Solutions
 
Building an Effective Identity Management Strategy
Building an Effective Identity Management StrategyBuilding an Effective Identity Management Strategy
Building an Effective Identity Management StrategyNetIQ
 
SOC Certification Runbook Template
SOC Certification Runbook TemplateSOC Certification Runbook Template
SOC Certification Runbook TemplateMark S. Mahre
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access ManagementPrashanth BS
 
Cobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoCobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoFernando Palma
 
NIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram PosterNIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram PosterMark Stafford
 
Implement cobit in your organization
Implement cobit in your organizationImplement cobit in your organization
Implement cobit in your organizationCheikh Hamallah DJIBA
 
CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2Eric Govani
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
The Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity ModelThe Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity ModelSarah Moore
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsPECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 

La actualidad más candente (20)

ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYS
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
Building an Enterprise MDM Strategy
Building an Enterprise MDM StrategyBuilding an Enterprise MDM Strategy
Building an Enterprise MDM Strategy
 
e-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Servicese-Zest Remote Infrastructure Management Services (RIM) Services
e-Zest Remote Infrastructure Management Services (RIM) Services
 
Building an Effective Identity Management Strategy
Building an Effective Identity Management StrategyBuilding an Effective Identity Management Strategy
Building an Effective Identity Management Strategy
 
SOC Certification Runbook Template
SOC Certification Runbook TemplateSOC Certification Runbook Template
SOC Certification Runbook Template
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
 
Who Commits Fraud
Who Commits Fraud Who Commits Fraud
Who Commits Fraud
 
Cobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoCobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de Implementação
 
NIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram PosterNIST Cyber Security Framework V1.1 - Infogram Poster
NIST Cyber Security Framework V1.1 - Infogram Poster
 
Implement cobit in your organization
Implement cobit in your organizationImplement cobit in your organization
Implement cobit in your organization
 
CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2CAMELOT CONSULTANTS _PROFILE_2013_2
CAMELOT CONSULTANTS _PROFILE_2013_2
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
 
GRC Fundamentals
GRC FundamentalsGRC Fundamentals
GRC Fundamentals
 
The Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity ModelThe Gartner IAM Program Maturity Model
The Gartner IAM Program Maturity Model
 
Information Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO StandardsInformation Security between Best Practices and ISO Standards
Information Security between Best Practices and ISO Standards
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
 

Similar a Claconsi 2012 bsi-lecciones aprendidas sgsi

Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaPedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 

Similar a Claconsi 2012 bsi-lecciones aprendidas sgsi (20)

SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 
ISO 27001.pdf
ISO 27001.pdfISO 27001.pdf
ISO 27001.pdf
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 

Más de Maricarmen García de Ureña

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioMaricarmen García de Ureña
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Maricarmen García de Ureña
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioMaricarmen García de Ureña
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Maricarmen García de Ureña
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasMaricarmen García de Ureña
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301Maricarmen García de Ureña
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Maricarmen García de Ureña
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 

Más de Maricarmen García de Ureña (14)

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocio
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Caso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFECaso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFE
 
ANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de GestionANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de Gestion
 
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externas
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 

Último

DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREdianayarelii17
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREHanniaJudithMedranoM
 
DOC-20240503-WA0003. cadena de valor.pdf
DOC-20240503-WA0003. cadena de valor.pdfDOC-20240503-WA0003. cadena de valor.pdf
DOC-20240503-WA0003. cadena de valor.pdfcarmenesthermedinaas
 
Correcion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxCorrecion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxHARLYJHANSELCHAVEZVE
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADAgordonruizsteffy
 
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)KwNacional
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgdostorosmg
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edxEvafabi
 
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxCORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxJOHUANYQUISPESAEZ
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxgeuster2
 
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdf
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdfTelcel-Lider-en-Telecomunicaciones-en-Mexico .pdf
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdfOliverPeraltaGH
 
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdf
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdfPresentación Gestión Corporativa Azul_20240511_200743_0000.pdf
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdfDazMartnezMaybeth
 
Reporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfReporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfjosephtena
 
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABACAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABAJuan Luis Menares, Arquitecto
 
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnExamen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnYadiraMarquez8
 
Manual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesManual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesElizabeth152261
 
Ejemplo de un análisis FODA de una empresa
Ejemplo de un análisis FODA de una empresaEjemplo de un análisis FODA de una empresa
Ejemplo de un análisis FODA de una empresava359676
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxmarlonrea6
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableThairyAndreinaLira1
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfaldonaim115
 

Último (20)

DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
DOC-20240503-WA0003. cadena de valor.pdf
DOC-20240503-WA0003. cadena de valor.pdfDOC-20240503-WA0003. cadena de valor.pdf
DOC-20240503-WA0003. cadena de valor.pdf
 
Correcion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxCorrecion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptx
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
 
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmg
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxCORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
 
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdf
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdfTelcel-Lider-en-Telecomunicaciones-en-Mexico .pdf
Telcel-Lider-en-Telecomunicaciones-en-Mexico .pdf
 
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdf
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdfPresentación Gestión Corporativa Azul_20240511_200743_0000.pdf
Presentación Gestión Corporativa Azul_20240511_200743_0000.pdf
 
Reporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfReporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdf
 
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABACAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
 
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnExamen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
Examen Tribu_removednnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 
Manual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesManual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformes
 
Ejemplo de un análisis FODA de una empresa
Ejemplo de un análisis FODA de una empresaEjemplo de un análisis FODA de una empresa
Ejemplo de un análisis FODA de una empresa
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contable
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 

Claconsi 2012 bsi-lecciones aprendidas sgsi

  • 1. Octubre, 2009 Expositor: Maricarmen García Risk Product Manager BSI Group México Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el estándar ISO 27001
  • 2. • Introducción • Lecciones aprendidas por empresas que han implementado y certificado • Reflexiones Agenda:
  • 4. Introducción Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
  • 5. Introducción Un SGSI cuenta con una estructura específica y constituido con ciertos elementos claves.
  • 6. Introducción Una vez contemplado el alcance, límites y objetivos de un SGSI, los elementos clave, como punto de partida de una implementación adecuada son principalmente: 1. Identificación de Activos 2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad) 1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
  • 7. Introducción 4. Declaración de aplicabilidad - SoA (Selección de controles del Anexo A, para riesgos que se han decidido controlar) 4. Implementación de Controles declarados en el SoA 5. Política del SGSI 6. Documentación y registros específicos del SGSI
  • 8. Introducción 8. Procesos y políticas del SGSI 9. Procedimientos de Auditorías Internas 10. Procedimientos de acciones preventivas y correctivas 11. Revisiones de la dirección
  • 10. Lecciones aprendidas por empresas que han implementado y certificado • Lección 1. Creer que la implementación de controles de seguridad es “el todo” sin considerar los elementos clave de un SGSI.
  • 11. Lecciones aprendidas por empresas que han implementado y certificado • Lección 2. Una buena selección de un método de análisis de riesgos asegura el cumplimiento de una adecuada implementación de un SGSI.
  • 12. Lecciones aprendidas por empresas que han implementado y certificado • Lección 3. Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones del cumplimiento legal o regulatorio aplicable a las mismas.
  • 13. Lecciones aprendidas por empresas que han implementado y certificado • Lección 4. Es un error considerar que mientras un SGSI cuente con la mayor parte de los 133 controles señalados en el ISO 27001, se garantiza una mejor seguridad de la información.
  • 14. Lecciones aprendidas por empresas que han implementado y certificado • Lección 5. Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de una implementación
  • 15. Lecciones aprendidas por empresas que han implementado y certificado • Lección 6. La concientización en seguridad de la información es un proceso continuo que mediante un programa de formación permite formar una cultura en seguridad de la información en el activo más valioso de información (gente) de las empresas.
  • 16. Lecciones aprendidas por empresas que han implementado y certificado • Lección 7. Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la empresa.
  • 17. Lecciones aprendidas por empresas que han implementado y certificado • Lección 8. Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento mediante auditorías de mantenimiento al SGSI.
  • 18. Lecciones aprendidas por empresas que han implementado y certificado • Lección 9. Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un incidente se pueda seguir operando considerando los temas de seguridad que le corresponda tratar.
  • 20. Reflexiones ¿Si la información de nuestra organización es de interés público, debe darse a conocer? Al dar a conocer el logro de una implementación o la obtención de un certificado de registro de un SGSI ¿qué implicaciones tiene?
  • 22. BSI Líder Global • Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países • Líder en auditorías y certificaciones de:  Continuidad del Negocio – BS 25999  Seguridad de la Información – ISO/IEC 27001  Gestión de Servicios TI – ISO/IEC 20000  Calidad – ISO 9001  Gestión Ambiental – ISO 14001  Automotriz – ISO/TS 16949  Aeroespacial – AS9100  Salud y Seguridad – OHSAS 18001  Alimentos – ISO 22000
  • 23. Contáctenos Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal +52 (55) 5241 1370 +52 (55) 5241 1371 23 Oficina Monterrey, Nuevo León Torre Capitel Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908 Monterrey, NL +52 (81) 8155 6100 +52 (81) 8155 6105 informacion.msmexico@bsigroup.com www.bsigroup.com.mx