SlideShare una empresa de Scribd logo

Seguridad-auditoria

Descargar como PPT, PDF
J
Johan Retos

El documento describe los primeros pasos para desarrollar un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Estos incluyen definir el alcance del SGSI, establecer una política de seguridad, asignar roles y responsabilidades de seguridad, y llevar a cabo una campaña de concienciación y capacitación para involucrar al personal.

Ingeniería
1 de 44
Auditoria Informatica Johan Roque Castro
¿Qué entendemos por seguridad de la información? Primero debemos conocer que la información en este área es referida a los activos de información, que tienen un valor para la organización.
Diferencias entre : SEGURIDAD DE LA INFORMACIÓN  abarca muchas más áreas SEGURIDAD INFORMÁTICA  Se encarga de la protección de las infraestructuras TIC que soportan el negocio
Por tanto : La seguridad de la información abarca la seguridad informática. La seguridad de la información, por tanto, se puede definir como la protección de la confidencialidad, integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de negocio de la organización.
Parámetros básicos de la seguridad Son:  Integridad  Confidencialidad  Disponibilidad Dependiendo de la necesidad del negocio también son parámetros :  Trazabilidad  Autenticidad
¿Qué es un fallo de seguridad?  Es cualquier incidente que la compromete, es decir que pone en peligro cualquiera de los parámetros con los que se valora la seguridad,
Fallos en las comunicaciones. Fallos en el suministro eléctrico. Fallos humanos de usuarios internos, usuarios externos, administradores, programadores, etc. Fallos en los sistemas de información: redes, aplicaciones, equipos, etc. Virus informáticos, gusanos, troyanos, etc. que inundan la red. Accesos no autorizados a los sistemas o la información. Incumplimiento de una ley o un reglamento. Algunos fallos :
¿Qué son los SGSI? Es aquella parte del sistema general de gestión de una organización que comprende ; La política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.
Con un sistema de gestión de seguridad de la información nos aseguraremos de cubrir todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los que la organización se enfrente. Por tanto definiremos un Sistema de Gestión de Seguridad de la información (SGSI) como la manera en la que una organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente
En respuesta a esta pregunta en este módulo se van a ver los siguientes contenidos: Importancia de la seguridad para el negocio. Beneficios. Evaluación Para decirlo de una manera breve: puede permitir la organización no proteger su información?
A) Importancia de la seguridad para el negocio Contar con un sistema de gestión permite ordenar las actividades de la organización y dirigirlas hacia el objetivo que la empresa busca. Sin embargo, lo que se pretende con un sistema de gestión es precisamente evitar que tengamos que reaccionar ante hechos que podrían haber sido previstos y gestionados adecuadamente antes de que llegaran a ser un problema. Evitar problemas es una manera muy barata de ahorrar costes. Como tantos otros aspectos de la gestión de cualquier organización, la clave está en adoptar una solución proporcionada a las necesidades del negocio.
Razones para afrontar el desarrollo y la implantación de SGSI Reducción de costes Optimizar los recursos y las inversiones en tecnología. Protección del negocio. Mejora de la competitividad. Cumplimiento legal y reglamentario. Mantener y mejorar la imagen corporativa.
B)Beneficios de la implantación de un SGSI
Estándares aceptados por la industria en el área de la seguridad de la información La organización ISO. Estándares en Seguridad de la Información:  Las Normas ISO 27000.  La Norma ISO 27001.  La Norma ISO 27002.
1. LA ORGANIZACIÓN ISO ISO (Organización Internacional de Estándares) es una organización especializada en el desarrollo y difusión de los estándares a nivel mundial. Los miembros de ISO, son organismos nacionales que participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos para tratar con los campos particulares de actividad técnica
2. LA FAMILIA DE LAS NORMAS ISO LA FAMILIA DE LAS NORMAS ISO ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen los términos y conceptos relacionados con la seguridad de la información, una visión general de la familia de estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora continua. UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005), publicada en el año 2007. Esta es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la información y es la norma con arreglo a la cual serán certificados los SGSI de las organizaciones que lo deseen. ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información, publicada en el año 2005. Esta guía de buenas prácticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases .
 ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de los controles relacionados. SO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información, publicada en el año 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma ISO 27001. ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y certificación de sistemas de gestión de seguridad de la información. Publicada en el año 2007. Recoge los criterios mediante los cuales una organización se puede acreditar para realizar esos servicios. ISO/IEC27007. Guía para la realización de las auditorías de un SGSI. ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un nivel de seguridad aceptable EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma ISO/IEC27002 (ISO27799:2008). Vigente en nuestro país ya que ha sido ratificada por AENOR en agosto de 2008. Como en la anterior, es una guía sectorial que da cabida a los requisitos específicos de entorno sanitario.
3. ORIGENES La Norma fue publicada como Norma Española en el año 2007, pero tiene una larga historia antes de llegar a este punto
Contenido de la UNE-ISO/IEC 27001 Especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI ) de acuerdo a la Norma ISO 27002 dentro del contexto de los riesgos identificados por la Organización. Asimismo está basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestión que ya existan en la organización. La Norma asume que la organización identifica y ad ministra cualquier tipo de actividad para funcionar eficientemente.
LA NORMA ISO 27002: Los objetivos de control contemplados en la Norma son: 1. Política de seguridad. 2. Organización de la seguridad de la información, tienen 11 controles: 3. Gestión de activos, con 5 controles: 4. Seguridad ligada a los Recursos Humanos con 9 controles: 5. Seguridad física y del entorno tiene 13 controles: 6. Gestión de comunicaciones y operaciones, con 32 controles 7. Control de acceso, cuenta con 25 controles: 8. Adquisición, desarrollo y mantenimiento de SI, tiene 16 controles: 9. Gestión de incidentes de seguridad de la información, con sólo 5 controles: 10.Gestión de la continuidad del negocio, también con 5 controles:
Aspectos generales Es una decisión estratégica que debe involucra a toda la organización y que debe ser apoyada y dirigida desde la dirección Su diseño dependerá de los objetivos y necesidades de la empresa, así como de su estructura Estos elementos son los que van a definir el alcance de la implantación del sistema, es decir , las áreas que van a verse involucradas en el cambio
La implantación de un sistema de Gestión de la Seguridad de la Información en una empresa suele oscilar entre 6 meses y 1 año. Todo depende del ámbito, el tamaño y complejidad de la organización.
Tareas a realizar 1. Fase Plan:
2. Fase Do (Hacer):
3. Fase Check (Comprobar):
4. Fase Act (Actuar):
Se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001 ¿Cómo se debe definir una Política de Seguridad coherente?, ¿cuales son las principales responsabilidades que deben asignarse Internamente?, Cómo debe definirse el alcance del Sistema y de qué manera debe llevarse a cabo una labor de concienciación que permita posteriormente implantar un SGSI eficaz.
1. Alcance del SGSI: Para comenzar a diseñar el SGSI en primer lugar hay que decidir qué se quiere proteger, es decir, el alcance que se le va a dar al sistema. Según lo especificado por la Norma UNE/ISO-IEC 27001, los límites del SGSI deben estar definidos en términos de las características de la organización, localización, activos y tecnologías Esto significa que hay que considerar qué parte de la organización va a quedar protegida por el SGSI, si es que no se pretende abarcarla toda.
Una vez decidido si el alcance va a ser toda la organización o sólo una parte de ella, hay que definir claramente este alcance. Para ello deben enumerarse: Las localizaciones físicas incluidas Las actividades de la organización Las tecnologías utilizadas
2. Política de Seguridad: El objetivo de la Política de Seguridad es dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo a los requisitos del negocio y la legislación aplicable. La Política de Seguridad la define la Dirección, estableciendo en ella de forma clara las líneas de actuación en esta área, que deben estar alineadas con los objetivos de negocio.  La Política es también una manifestación expresa del apoyo y compromiso de la Dirección con la seguridad de la información.
La Política debe ser un documento legible y comprensible para toda la audiencia a la que va dirigido, lo cual es más fácil de conseguir si es corto y preciso, enfocado a describir qué se quiere proteger en la organización y por qué.
3. Organización de la seguridad: El segundo dominio de actuación de la norma ISO 27001 se corresponde con los aspectos organizativos de la seguridad de la información y trata tanto la organización interna como la relación de la empresa con terceras partes (clientes, subcontratas, etc.) Es por ello que el diseño e implantación de un SGSI y su posterior mantenimiento implica describir nuevas funciones dentro de la organización para hacerse cargo de las nuevas actividades.
Hay dos funciones principales: Un responsable de seguridad Integrantes del comité de seguridad.
Las principales responsabilidades de los roles más habituales que se encuentran en cualquier organización son:
4. Concienciación Esta es una parte crucial de un proyecto de implantación de un SGSI. Aunque todo el proceso de diseño y desarrollo del sistema se haya hecho cuidadosamente, escogiendo las mejores soluciones y las implementaciones más prácticas y adecuadas, todo puede fallar de manera estrepitosa si no se consigue que el personal se involucre para que el sistema funcione.
Esta parte de concienciación, debe ser complementada con formación. Por muy mentalizada que se haya conseguido que esté la plantilla, no servirá de mucho si no se les han dado los medios para poder ejecutar sus tareas de manera segura. Es necesario que el personal al que se le han asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo sus tareas. Realizar un plan de formación razonable pasa por determinar cuales son las necesidades de formación. Hay que decidir también quién va a recibir la formación y escoger el mejor momento para que puedan recibirla, aunque una formación básica en los aspectos fundamentales de la seguridad de la información y en el SGSI de la organización deben recibirla todos los empleados.
Con todas estas actuaciones se creará en la empresa una cultura de seguridad que conllevará el asumir las labores relativas a la seguridad de la información como parte del día a día y como un todo en la organización.
Seguridad-auditoria

Recomendados

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 

Recomendados

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002FabiolaGumucio
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria InternaChildren International
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Dilcia Mejia
 
Struts2入门v3.0
Struts2入门v3.0Struts2入门v3.0
Struts2入门v3.0yuanao
 
desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos Majo Orinskyc
 

Más contenido relacionado

La actualidad más candente

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Dilcia Mejia
 

La actualidad más candente (20)

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Interna
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
 

Destacado

Struts2入门v3.0
Struts2入门v3.0Struts2入门v3.0
Struts2入门v3.0yuanao
 
desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos Majo Orinskyc
 
Desarrollo y características de documentos electrónicos
Desarrollo y características de documentos electrónicosDesarrollo y características de documentos electrónicos
Desarrollo y características de documentos electrónicosmikeacostar
 
Mapa Conceptual Modalizaciones
Mapa Conceptual ModalizacionesMapa Conceptual Modalizaciones
Mapa Conceptual Modalizacionesdelafuente
 
USOS ELECRONICOS
USOS ELECRONICOSUSOS ELECRONICOS
USOS ELECRONICOSdane65
 
Buenas y malas prácticas de accesibilidad en documentos electrónicos
Buenas y malas prácticas de accesibilidad en documentos electrónicosBuenas y malas prácticas de accesibilidad en documentos electrónicos
Buenas y malas prácticas de accesibilidad en documentos electrónicosOlga Carreras Montoto
 
Eje tematico 5 tratamiento de documentos electronicos
Eje tematico 5 tratamiento de documentos electronicosEje tematico 5 tratamiento de documentos electronicos
Eje tematico 5 tratamiento de documentos electronicoslaurasofia28
 
Tratamiento de los documentos electrónicos
Tratamiento de los documentos electrónicosTratamiento de los documentos electrónicos
Tratamiento de los documentos electrónicosrapenalozag
 
Tratamiento de documentos electronicos
Tratamiento de documentos electronicosTratamiento de documentos electronicos
Tratamiento de documentos electronicosYoana Gonzalez
 

Destacado (13)

Struts2入门v3.0
Struts2入门v3.0Struts2入门v3.0
Struts2入门v3.0
 
desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos desarrollo y caracteristicas de documentos electronicos
desarrollo y caracteristicas de documentos electronicos
 
Desarrollo y características de documentos electrónicos
Desarrollo y características de documentos electrónicosDesarrollo y características de documentos electrónicos
Desarrollo y características de documentos electrónicos
 
Mapa Conceptual Modalizaciones
Mapa Conceptual ModalizacionesMapa Conceptual Modalizaciones
Mapa Conceptual Modalizaciones
 
USOS ELECRONICOS
USOS ELECRONICOSUSOS ELECRONICOS
USOS ELECRONICOS
 
Buenas y malas prácticas de accesibilidad en documentos electrónicos
Buenas y malas prácticas de accesibilidad en documentos electrónicosBuenas y malas prácticas de accesibilidad en documentos electrónicos
Buenas y malas prácticas de accesibilidad en documentos electrónicos
 
Usos electrónicos
Usos electrónicosUsos electrónicos
Usos electrónicos
 
Eje tematico 5 tratamiento de documentos electronicos
Eje tematico 5 tratamiento de documentos electronicosEje tematico 5 tratamiento de documentos electronicos
Eje tematico 5 tratamiento de documentos electronicos
 
Tratamiento de los documentos electrónicos
Tratamiento de los documentos electrónicosTratamiento de los documentos electrónicos
Tratamiento de los documentos electrónicos
 
Tratamientos a los Documentos Electrónicos
Tratamientos a los Documentos ElectrónicosTratamientos a los Documentos Electrónicos
Tratamientos a los Documentos Electrónicos
 
Prepa si
Prepa siPrepa si
Prepa si
 
Tratamiento de documentos electronicos
Tratamiento de documentos electronicosTratamiento de documentos electronicos
Tratamiento de documentos electronicos
 
Los archivos electronicos
Los archivos electronicosLos archivos electronicos
Los archivos electronicos
 

Similar a Seguridad-auditoria

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 

Similar a Seguridad-auditoria (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 

Último

Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingKevinCabrera96
 
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxCARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxvalenciaespinozadavi1
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxMarcelaArancibiaRojo
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónXimenaFallaLecca1
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfbcondort
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZgustavoiashalom
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOFritz Rebaza Latoche
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASPersonalJesusGranPod
 
clases de porcinos generales de porcinos
clases de porcinos generales de porcinosclases de porcinos generales de porcinos
clases de porcinos generales de porcinosDayanaCarolinaAP
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILProblemSolved
 
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdfMODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdfvladimirpaucarmontes
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesElianaCceresTorrico
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesgovovo2388
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaAlexanderimanolLencr
 
Mapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMONICADELROCIOMUNZON1
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajasjuanprv
 

Último (20)

Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxCARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docx
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcción
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
 
clases de porcinos generales de porcinos
clases de porcinos generales de porcinosclases de porcinos generales de porcinos
clases de porcinos generales de porcinos
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
 
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdfMODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitales
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiología
 
Mapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptx
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajas
 

Seguridad-auditoria

  • 2. ¿Qué entendemos por seguridad de la información? Primero debemos conocer que la información en este área es referida a los activos de información, que tienen un valor para la organización.
  • 3. Diferencias entre : SEGURIDAD DE LA INFORMACIÓN  abarca muchas más áreas SEGURIDAD INFORMÁTICA  Se encarga de la protección de las infraestructuras TIC que soportan el negocio
  • 4. Por tanto : La seguridad de la información abarca la seguridad informática. La seguridad de la información, por tanto, se puede definir como la protección de la confidencialidad, integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de negocio de la organización.
  • 5. Parámetros básicos de la seguridad Son:  Integridad  Confidencialidad  Disponibilidad Dependiendo de la necesidad del negocio también son parámetros :  Trazabilidad  Autenticidad
  • 6. ¿Qué es un fallo de seguridad?  Es cualquier incidente que la compromete, es decir que pone en peligro cualquiera de los parámetros con los que se valora la seguridad,
  • 7. Fallos en las comunicaciones. Fallos en el suministro eléctrico. Fallos humanos de usuarios internos, usuarios externos, administradores, programadores, etc. Fallos en los sistemas de información: redes, aplicaciones, equipos, etc. Virus informáticos, gusanos, troyanos, etc. que inundan la red. Accesos no autorizados a los sistemas o la información. Incumplimiento de una ley o un reglamento. Algunos fallos :
  • 8. ¿Qué son los SGSI? Es aquella parte del sistema general de gestión de una organización que comprende ; La política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.
  • 9. Con un sistema de gestión de seguridad de la información nos aseguraremos de cubrir todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los que la organización se enfrente. Por tanto definiremos un Sistema de Gestión de Seguridad de la información (SGSI) como la manera en la que una organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente
  • 10.
  • 11. En respuesta a esta pregunta en este módulo se van a ver los siguientes contenidos: Importancia de la seguridad para el negocio. Beneficios. Evaluación Para decirlo de una manera breve: puede permitir la organización no proteger su información?
  • 12. A) Importancia de la seguridad para el negocio Contar con un sistema de gestión permite ordenar las actividades de la organización y dirigirlas hacia el objetivo que la empresa busca. Sin embargo, lo que se pretende con un sistema de gestión es precisamente evitar que tengamos que reaccionar ante hechos que podrían haber sido previstos y gestionados adecuadamente antes de que llegaran a ser un problema. Evitar problemas es una manera muy barata de ahorrar costes. Como tantos otros aspectos de la gestión de cualquier organización, la clave está en adoptar una solución proporcionada a las necesidades del negocio.
  • 13. Razones para afrontar el desarrollo y la implantación de SGSI Reducción de costes Optimizar los recursos y las inversiones en tecnología. Protección del negocio. Mejora de la competitividad. Cumplimiento legal y reglamentario. Mantener y mejorar la imagen corporativa.
  • 14. B)Beneficios de la implantación de un SGSI
  • 15.
  • 16. Estándares aceptados por la industria en el área de la seguridad de la información La organización ISO. Estándares en Seguridad de la Información:  Las Normas ISO 27000.  La Norma ISO 27001.  La Norma ISO 27002.
  • 17. 1. LA ORGANIZACIÓN ISO ISO (Organización Internacional de Estándares) es una organización especializada en el desarrollo y difusión de los estándares a nivel mundial. Los miembros de ISO, son organismos nacionales que participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos para tratar con los campos particulares de actividad técnica
  • 18. 2. LA FAMILIA DE LAS NORMAS ISO LA FAMILIA DE LAS NORMAS ISO ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen los términos y conceptos relacionados con la seguridad de la información, una visión general de la familia de estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora continua. UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005), publicada en el año 2007. Esta es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la información y es la norma con arreglo a la cual serán certificados los SGSI de las organizaciones que lo deseen. ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información, publicada en el año 2005. Esta guía de buenas prácticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases .
  • 19.  ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de los controles relacionados. SO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información, publicada en el año 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma ISO 27001. ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y certificación de sistemas de gestión de seguridad de la información. Publicada en el año 2007. Recoge los criterios mediante los cuales una organización se puede acreditar para realizar esos servicios. ISO/IEC27007. Guía para la realización de las auditorías de un SGSI. ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un nivel de seguridad aceptable EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma ISO/IEC27002 (ISO27799:2008). Vigente en nuestro país ya que ha sido ratificada por AENOR en agosto de 2008. Como en la anterior, es una guía sectorial que da cabida a los requisitos específicos de entorno sanitario.
  • 20. 3. ORIGENES La Norma fue publicada como Norma Española en el año 2007, pero tiene una larga historia antes de llegar a este punto
  • 21. Contenido de la UNE-ISO/IEC 27001 Especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI ) de acuerdo a la Norma ISO 27002 dentro del contexto de los riesgos identificados por la Organización. Asimismo está basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestión que ya existan en la organización. La Norma asume que la organización identifica y ad ministra cualquier tipo de actividad para funcionar eficientemente.
  • 22.
  • 23. LA NORMA ISO 27002: Los objetivos de control contemplados en la Norma son: 1. Política de seguridad. 2. Organización de la seguridad de la información, tienen 11 controles: 3. Gestión de activos, con 5 controles: 4. Seguridad ligada a los Recursos Humanos con 9 controles: 5. Seguridad física y del entorno tiene 13 controles: 6. Gestión de comunicaciones y operaciones, con 32 controles 7. Control de acceso, cuenta con 25 controles: 8. Adquisición, desarrollo y mantenimiento de SI, tiene 16 controles: 9. Gestión de incidentes de seguridad de la información, con sólo 5 controles: 10.Gestión de la continuidad del negocio, también con 5 controles:
  • 24.
  • 25.
  • 26. Aspectos generales Es una decisión estratégica que debe involucra a toda la organización y que debe ser apoyada y dirigida desde la dirección Su diseño dependerá de los objetivos y necesidades de la empresa, así como de su estructura Estos elementos son los que van a definir el alcance de la implantación del sistema, es decir , las áreas que van a verse involucradas en el cambio
  • 27. La implantación de un sistema de Gestión de la Seguridad de la Información en una empresa suele oscilar entre 6 meses y 1 año. Todo depende del ámbito, el tamaño y complejidad de la organización.
  • 28. Tareas a realizar 1. Fase Plan:
  • 29. 2. Fase Do (Hacer):
  • 30. 3. Fase Check (Comprobar):
  • 31. 4. Fase Act (Actuar):
  • 32.
  • 33. Se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001 ¿Cómo se debe definir una Política de Seguridad coherente?, ¿cuales son las principales responsabilidades que deben asignarse Internamente?, Cómo debe definirse el alcance del Sistema y de qué manera debe llevarse a cabo una labor de concienciación que permita posteriormente implantar un SGSI eficaz.
  • 34. 1. Alcance del SGSI: Para comenzar a diseñar el SGSI en primer lugar hay que decidir qué se quiere proteger, es decir, el alcance que se le va a dar al sistema. Según lo especificado por la Norma UNE/ISO-IEC 27001, los límites del SGSI deben estar definidos en términos de las características de la organización, localización, activos y tecnologías Esto significa que hay que considerar qué parte de la organización va a quedar protegida por el SGSI, si es que no se pretende abarcarla toda.
  • 35. Una vez decidido si el alcance va a ser toda la organización o sólo una parte de ella, hay que definir claramente este alcance. Para ello deben enumerarse: Las localizaciones físicas incluidas Las actividades de la organización Las tecnologías utilizadas
  • 36. 2. Política de Seguridad: El objetivo de la Política de Seguridad es dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo a los requisitos del negocio y la legislación aplicable. La Política de Seguridad la define la Dirección, estableciendo en ella de forma clara las líneas de actuación en esta área, que deben estar alineadas con los objetivos de negocio.  La Política es también una manifestación expresa del apoyo y compromiso de la Dirección con la seguridad de la información.
  • 37. La Política debe ser un documento legible y comprensible para toda la audiencia a la que va dirigido, lo cual es más fácil de conseguir si es corto y preciso, enfocado a describir qué se quiere proteger en la organización y por qué.
  • 38. 3. Organización de la seguridad: El segundo dominio de actuación de la norma ISO 27001 se corresponde con los aspectos organizativos de la seguridad de la información y trata tanto la organización interna como la relación de la empresa con terceras partes (clientes, subcontratas, etc.) Es por ello que el diseño e implantación de un SGSI y su posterior mantenimiento implica describir nuevas funciones dentro de la organización para hacerse cargo de las nuevas actividades.
  • 39. Hay dos funciones principales: Un responsable de seguridad Integrantes del comité de seguridad.
  • 40. Las principales responsabilidades de los roles más habituales que se encuentran en cualquier organización son:
  • 41. 4. Concienciación Esta es una parte crucial de un proyecto de implantación de un SGSI. Aunque todo el proceso de diseño y desarrollo del sistema se haya hecho cuidadosamente, escogiendo las mejores soluciones y las implementaciones más prácticas y adecuadas, todo puede fallar de manera estrepitosa si no se consigue que el personal se involucre para que el sistema funcione.
  • 42. Esta parte de concienciación, debe ser complementada con formación. Por muy mentalizada que se haya conseguido que esté la plantilla, no servirá de mucho si no se les han dado los medios para poder ejecutar sus tareas de manera segura. Es necesario que el personal al que se le han asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo sus tareas. Realizar un plan de formación razonable pasa por determinar cuales son las necesidades de formación. Hay que decidir también quién va a recibir la formación y escoger el mejor momento para que puedan recibirla, aunque una formación básica en los aspectos fundamentales de la seguridad de la información y en el SGSI de la organización deben recibirla todos los empleados.
  • 43. Con todas estas actuaciones se creará en la empresa una cultura de seguridad que conllevará el asumir las labores relativas a la seguridad de la información como parte del día a día y como un todo en la organización.