SlideShare una empresa de Scribd logo

Estándar iso iec 27002 2005

Ciro Bonilla
Ciro Bonilla

Controles y Objetivos de Control ISO/IEC 27002:2005

Tecnología
1 de 18
Descargar para leer sin conexión
Modelo de gestión de la seguridad, ISO 27002 : Administración de seguridad de la información CIT Conformidad legal (3 Objetivo, 10 Controles) Plan de Continuidad de Negocio (10 Objetivo, 32 Controles) Política de seguridad (7 Objetivo, 25 Controles) (6 Objetivo, 16 Controles) Control de acceso (1 Objetivo, 2 Controles) Comunicaciones Mantenimiento Y operaciones De sistemas (1 Objetivo, 5 Controles) Seguridad del personal Seguridad física (3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles) Estructura organizativa Clasificación de activos (3 Objetivo, 11 Controles) (2 Objetivo, 5 Controles) Consulting Information Technology CIT
Diagrama de la Norma ISO 27002 CIT Seguridad organizativa Política de Seguridad Seguridad lógica Seguridad física Organización de la Seguridad legal Seguridad de la información Gestión de activos Control de accesos conformidad Seguridad física y del Seguridad en los entorno Recursos Humanos Gestión de Gestión de la Gestión de Adquisición, desarrollo y Incidentes de seg. Continuidad del comunicaciones mantenimiento de de la información negocio y operaciones sistemas de información Consulting Information Technology CIT
ISO/IEC 27002: 2005 Sección 5: Política de seguridad CIT Política de seguridad de la información Trata de que se disponga de una normativa común de Documento de política seguridad que regule las líneas maestras sobre como va a Revisión trabajar toda la de la política organización Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 6: Aspectos Organizativos de la Seguridad de la Información CIT Organización Interna Seguridad en accesos de Terceras partes Compromiso de la Dirección Identificación de riesgos en el acceso Coordinación de la Seg de terceros Establece la estructura Responsables de organizativa (terceros, Seguridad responsables, comités, Autorización para colaboraciones, etc.) y su Tratamiento de seguridad procesar la información funcionamiento de cara a En relación con los clientes gestionar la seguridad de la Acuerdo confidencialidad información Contacto autoridades Tratamiento de seguridad Grupo especial de interés En contratos con terceros Revisión independiente De la seguridad de la información Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 7: Clasificación y control de activos CIT Responsabilidades Clasificación sobre los activos de la información Inventario de Incorpora las herramientas para activos establecer qué debe ser protegido, qué nivel de protección requiere y Directrices de quién es el responsable principal clasificación de su protección Propiedad de los activos Etiquetado y manipulado de la información Uso aceptable de los activos Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 8: Seguridad relacionada con el personal CIT Seguridad antes Durante el Cese del empleo del empleo empleo cambio de puesto Responsabilidad del Responsabilidades cese o cambio Funciones y de la responsabilidades dirección Devolución de activos Concienciación, Investigación de formación antecedentes y capacitación Retiro de los derechos de acceso Términos y Procesos condiciones disciplinarios Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno CIT Seguridad de los Áreas seguras Equipos de información Emplazamiento y Perímetro de Protección equipos Seguridad física Instalaciones Controles físicos suministros de entrada Incluye las medidas de seguridad física (edificios, Seguridad cableado Seguridad oficinas, salas, cableado, armarios, despachos e insta. etc.) que se deben tomar para Mantenimiento de equipos proteger los sistemas y la Protección amenazas información Externas de Seguridad equipos origen ambiental fuera de la oficina Trabajo en Reutilización o ret. áreas seguras Segura de equipo Zonas de carga Retirada de materiales y descarga Propiedad de la empresa Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Procedimientos y Provisión servicios Protección código responsabilidades por terceros Malicioso y descargable Provisión de servicios Control contra código malicioso. Procedimientos de operaciones escritos Supervisión y revisión Control contra código Servicios por terceros Descargado por el cliente Gestión de cambios Control de cambios Servicios prestado operacionales por terceros Planificación y Aceptación del sist. Segregación de tareas y Determina las medidas de Gestión de capacidades responsabilidades seguridad que la organización debe contemplar en sus operaciones y en el uso de las Separación de Aceptación del Ambientes (desarrollo, comunicaciones Sistema Prueba y operación) Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Manipulación Intercambio de Copias de seguridad de los soportes información Gestión de soportes extraíbles Políticas y Copias de seguridad de procedimiento La información Intercambio de informac. Retirada de soportes Acuerdos de cambio Seguridad de Procedimientos de Redes Manipulación de la info. Controles de red Soportes físicos Seguridad de la en transito Documentación del sist. Seguridad de los Mensajería Servicios de red Determina las medidas de Electrónica seguridad que la organización debe contemplar en sus Sistemas de información operaciones y en el uso de las empresariales comunicaciones Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Supervisión Servicios de Comercio electrónico Registro de Auditorias Supervisión uso del Comercio electrónico sistema Protección de la Información registros Transacciones en línea Registros administración y operación Información pública Registro de fallos Sincronización de reloj Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Requisitos de negocio Responsabilidad Control de para control de acceso usuarios Acceso a la red Política Política control Uso de acceso passwords Routing Equipos Identificación de desatendidos equipos de red Gestión de Acceso usuarios Puesto de trabajo Diagnostico remoto despejado y Protección puertos pantalla limpia configuración Registro Segregación de redes Establece las medidas de Privilegios Segregación control de acceso a la de redes Passwords información a los distintos Control de niveles en los que se conexión Revisión Derechos puede plantear Control de routing Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Control de acceso al SO Ordenadores portátiles Control acceso y teletrabajo a aplicaciones y a la información Procedimiento seguro de inicio de sesión Informática móvil Restricción Identificación y de acceso Autenticación usuario Teletrabajo Aislamiento Sistema gestión de sistemas sensibles contraseña Uso recursos del sistema Desconexión Automática de sesión Limitación tiempo conexión Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento de los sistemas de información CIT Requisitos Controles Seguridad de seguridad de sistemas de información criptográficos Desarrollo y soporte Política de Análisis y criptografía especificaciones Control de Tratamiento correcto Gestión claves cambios de las aplicaciones Vulnerabilidad Revisión técnica de técnica Seguridad de los Aplicaciones tras Validación de Archivo del sistema cambios SO Datos de entrada Restricción de Control proceso Control software Cambios software en explotación Control de interno vulnerabilidades Fugas de Integridad de Protección información los mensajes datos prueba Desarrollo Validación de los Control externalizado datos de salida Código fuente Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 13: Gestión de incidentes en la seguridad de la información CIT Incidentes de seguridad Notificación eventos y puntos de la información y Débiles de la seguridad mejoras de la información Responsabilidades y Notificación eventos Procedimientos Aprendizaje de los Incidentes de seguridad Notificación puntos Débiles de la seguridad Recopilación de evidencias Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio CIT Seguridad de la información en la gestión del negocio Inclusión de la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implantación de planes de continuidad que incluyan seguridad de la información Marco de referencia para la Planificación de la continuidad del negocio Pruebas, mantenimiento y Reevaluación de planes de continuidad Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 15: Cumplimiento CIT Cumplimiento de los Cumplimiento de las Requisitos legales Políticas y normas de seguridad y cumplimiento técnico Identificación de la Legislación aplicable Cumplimiento de las políticas Derechos propiedad y normas de seguridad Intelectual (DPI) Protección documentos Comprobación del Consideraciones de las de la organización Cumplimiento técnico Auditorías de los Sistemas de información Protección datos y Privacidad información personal Control de Auditoría de los sistemas de información Prevención uso indebido De los recursos tratamiento de la información Protección de las herramientas Regulación de los controles de auditoria de los sistemas de criptográficos información Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
Gracias … CIT Apoyo gerencial Necesitamos la La Seguridad es un proceso, artillería correcta Equipo Sólido No un producto ¿Preguntas? Alianzas Estratégicas Consulting Information Technology CIT
CIT Less risk, better IT works www.consultinginformationtechnology.com info@consultinginformationtechnology.com www.facebook.com/CITNIC Consulting Information Technology CIT

Recomendados

Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Levantamiento de información
Levantamiento de informaciónLevantamiento de información
Levantamiento de informaciónRubenAlfredoSantosCa
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redesOrlando Verdugo
 

Recomendados

Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Levantamiento de información
Levantamiento de informaciónLevantamiento de información
Levantamiento de informaciónRubenAlfredoSantosCa
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redesOrlando Verdugo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 IntroducciónFernando De los Ríos
 
Auditoria data center
Auditoria data centerAuditoria data center
Auditoria data centerInstituto Shana
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De RedPaco Orozco
 
Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informaticaJöse Manüel
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Técnicas mineria de datos
Técnicas mineria de datosTécnicas mineria de datos
Técnicas mineria de datoslalopg
 
Que es Administración de centros de información
Que es Administración de centros de informaciónQue es Administración de centros de información
Que es Administración de centros de informaciónMarco Junior Cordero Pampa
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.Ricardo López
 
Gestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONGestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONDani Gutiérrez Porset
 
Guia seguridad informatica
Guia seguridad informaticaGuia seguridad informatica
Guia seguridad informaticaConsejo Nacional Electoral
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Elección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designadosElección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designadosJose Hernandez Landa
 
ISO 27002
ISO 27002ISO 27002
ISO 27002trabajofinal2
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 

Más contenido relacionado

La actualidad más candente

Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informaticaJöse Manüel
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Técnicas mineria de datos
Técnicas mineria de datosTécnicas mineria de datos
Técnicas mineria de datoslalopg
 
Que es Administración de centros de información
Que es Administración de centros de informaciónQue es Administración de centros de información
Que es Administración de centros de informaciónMarco Junior Cordero Pampa
 
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.Ricardo López
 
Elección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designadosElección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designadosJose Hernandez Landa
 

La actualidad más candente (20)

Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 Introducción
 
Auditoria data center
Auditoria data centerAuditoria data center
Auditoria data center
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De Red
 
Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informatica
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Técnicas mineria de datos
Técnicas mineria de datosTécnicas mineria de datos
Técnicas mineria de datos
 
Que es Administración de centros de información
Que es Administración de centros de informaciónQue es Administración de centros de información
Que es Administración de centros de información
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
Presentacion Proyecto Sistema Video Vigilancia Urbano para el Municipio de Moca.
 
Gestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONGestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMON
 
Guia seguridad informatica
Guia seguridad informaticaGuia seguridad informatica
Guia seguridad informatica
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 
Elección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designadosElección de puente raíz puertos raiz puertos designados y no designados
Elección de puente raíz puertos raiz puertos designados y no designados
 

Destacado

Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Cartilla Ciencias Políticas
Cartilla Ciencias Políticas Cartilla Ciencias Políticas
Cartilla Ciencias Políticas cmilis
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 

Destacado (18)

ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Cartilla Ciencias Políticas
Cartilla Ciencias Políticas Cartilla Ciencias Políticas
Cartilla Ciencias Políticas
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 

Último

TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

Estándar iso iec 27002 2005

  • 1. Modelo de gestión de la seguridad, ISO 27002 : Administración de seguridad de la información CIT Conformidad legal (3 Objetivo, 10 Controles) Plan de Continuidad de Negocio (10 Objetivo, 32 Controles) Política de seguridad (7 Objetivo, 25 Controles) (6 Objetivo, 16 Controles) Control de acceso (1 Objetivo, 2 Controles) Comunicaciones Mantenimiento Y operaciones De sistemas (1 Objetivo, 5 Controles) Seguridad del personal Seguridad física (3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles) Estructura organizativa Clasificación de activos (3 Objetivo, 11 Controles) (2 Objetivo, 5 Controles) Consulting Information Technology CIT
  • 2. Diagrama de la Norma ISO 27002 CIT Seguridad organizativa Política de Seguridad Seguridad lógica Seguridad física Organización de la Seguridad legal Seguridad de la información Gestión de activos Control de accesos conformidad Seguridad física y del Seguridad en los entorno Recursos Humanos Gestión de Gestión de la Gestión de Adquisición, desarrollo y Incidentes de seg. Continuidad del comunicaciones mantenimiento de de la información negocio y operaciones sistemas de información Consulting Information Technology CIT
  • 3. ISO/IEC 27002: 2005 Sección 5: Política de seguridad CIT Política de seguridad de la información Trata de que se disponga de una normativa común de Documento de política seguridad que regule las líneas maestras sobre como va a Revisión trabajar toda la de la política organización Consulting Information Technology CIT
  • 4. ISO/IEC 27002:2005 Sección 6: Aspectos Organizativos de la Seguridad de la Información CIT Organización Interna Seguridad en accesos de Terceras partes Compromiso de la Dirección Identificación de riesgos en el acceso Coordinación de la Seg de terceros Establece la estructura Responsables de organizativa (terceros, Seguridad responsables, comités, Autorización para colaboraciones, etc.) y su Tratamiento de seguridad procesar la información funcionamiento de cara a En relación con los clientes gestionar la seguridad de la Acuerdo confidencialidad información Contacto autoridades Tratamiento de seguridad Grupo especial de interés En contratos con terceros Revisión independiente De la seguridad de la información Consulting Information Technology CIT
  • 5. ISO/IEC 27002:2005 Sección 7: Clasificación y control de activos CIT Responsabilidades Clasificación sobre los activos de la información Inventario de Incorpora las herramientas para activos establecer qué debe ser protegido, qué nivel de protección requiere y Directrices de quién es el responsable principal clasificación de su protección Propiedad de los activos Etiquetado y manipulado de la información Uso aceptable de los activos Consulting Information Technology CIT
  • 6. ISO/IEC 27002:2005 Sección 8: Seguridad relacionada con el personal CIT Seguridad antes Durante el Cese del empleo del empleo empleo cambio de puesto Responsabilidad del Responsabilidades cese o cambio Funciones y de la responsabilidades dirección Devolución de activos Concienciación, Investigación de formación antecedentes y capacitación Retiro de los derechos de acceso Términos y Procesos condiciones disciplinarios Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información Consulting Information Technology CIT
  • 7. ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno CIT Seguridad de los Áreas seguras Equipos de información Emplazamiento y Perímetro de Protección equipos Seguridad física Instalaciones Controles físicos suministros de entrada Incluye las medidas de seguridad física (edificios, Seguridad cableado Seguridad oficinas, salas, cableado, armarios, despachos e insta. etc.) que se deben tomar para Mantenimiento de equipos proteger los sistemas y la Protección amenazas información Externas de Seguridad equipos origen ambiental fuera de la oficina Trabajo en Reutilización o ret. áreas seguras Segura de equipo Zonas de carga Retirada de materiales y descarga Propiedad de la empresa Consulting Information Technology CIT
  • 8. ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Procedimientos y Provisión servicios Protección código responsabilidades por terceros Malicioso y descargable Provisión de servicios Control contra código malicioso. Procedimientos de operaciones escritos Supervisión y revisión Control contra código Servicios por terceros Descargado por el cliente Gestión de cambios Control de cambios Servicios prestado operacionales por terceros Planificación y Aceptación del sist. Segregación de tareas y Determina las medidas de Gestión de capacidades responsabilidades seguridad que la organización debe contemplar en sus operaciones y en el uso de las Separación de Aceptación del Ambientes (desarrollo, comunicaciones Sistema Prueba y operación) Consulting Information Technology CIT
  • 9. ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Manipulación Intercambio de Copias de seguridad de los soportes información Gestión de soportes extraíbles Políticas y Copias de seguridad de procedimiento La información Intercambio de informac. Retirada de soportes Acuerdos de cambio Seguridad de Procedimientos de Redes Manipulación de la info. Controles de red Soportes físicos Seguridad de la en transito Documentación del sist. Seguridad de los Mensajería Servicios de red Determina las medidas de Electrónica seguridad que la organización debe contemplar en sus Sistemas de información operaciones y en el uso de las empresariales comunicaciones Consulting Information Technology CIT
  • 10. ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Supervisión Servicios de Comercio electrónico Registro de Auditorias Supervisión uso del Comercio electrónico sistema Protección de la Información registros Transacciones en línea Registros administración y operación Información pública Registro de fallos Sincronización de reloj Consulting Information Technology CIT
  • 11. ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Requisitos de negocio Responsabilidad Control de para control de acceso usuarios Acceso a la red Política Política control Uso de acceso passwords Routing Equipos Identificación de desatendidos equipos de red Gestión de Acceso usuarios Puesto de trabajo Diagnostico remoto despejado y Protección puertos pantalla limpia configuración Registro Segregación de redes Establece las medidas de Privilegios Segregación control de acceso a la de redes Passwords información a los distintos Control de niveles en los que se conexión Revisión Derechos puede plantear Control de routing Consulting Information Technology CIT
  • 12. ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Control de acceso al SO Ordenadores portátiles Control acceso y teletrabajo a aplicaciones y a la información Procedimiento seguro de inicio de sesión Informática móvil Restricción Identificación y de acceso Autenticación usuario Teletrabajo Aislamiento Sistema gestión de sistemas sensibles contraseña Uso recursos del sistema Desconexión Automática de sesión Limitación tiempo conexión Consulting Information Technology CIT
  • 13. ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento de los sistemas de información CIT Requisitos Controles Seguridad de seguridad de sistemas de información criptográficos Desarrollo y soporte Política de Análisis y criptografía especificaciones Control de Tratamiento correcto Gestión claves cambios de las aplicaciones Vulnerabilidad Revisión técnica de técnica Seguridad de los Aplicaciones tras Validación de Archivo del sistema cambios SO Datos de entrada Restricción de Control proceso Control software Cambios software en explotación Control de interno vulnerabilidades Fugas de Integridad de Protección información los mensajes datos prueba Desarrollo Validación de los Control externalizado datos de salida Código fuente Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
  • 14. ISO/IEC 27002:2005 Sección 13: Gestión de incidentes en la seguridad de la información CIT Incidentes de seguridad Notificación eventos y puntos de la información y Débiles de la seguridad mejoras de la información Responsabilidades y Notificación eventos Procedimientos Aprendizaje de los Incidentes de seguridad Notificación puntos Débiles de la seguridad Recopilación de evidencias Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
  • 15. ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio CIT Seguridad de la información en la gestión del negocio Inclusión de la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implantación de planes de continuidad que incluyan seguridad de la información Marco de referencia para la Planificación de la continuidad del negocio Pruebas, mantenimiento y Reevaluación de planes de continuidad Consulting Information Technology CIT
  • 16. ISO/IEC 27002:2005 Sección 15: Cumplimiento CIT Cumplimiento de los Cumplimiento de las Requisitos legales Políticas y normas de seguridad y cumplimiento técnico Identificación de la Legislación aplicable Cumplimiento de las políticas Derechos propiedad y normas de seguridad Intelectual (DPI) Protección documentos Comprobación del Consideraciones de las de la organización Cumplimiento técnico Auditorías de los Sistemas de información Protección datos y Privacidad información personal Control de Auditoría de los sistemas de información Prevención uso indebido De los recursos tratamiento de la información Protección de las herramientas Regulación de los controles de auditoria de los sistemas de criptográficos información Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones Consulting Information Technology CIT
  • 17. Gracias … CIT Apoyo gerencial Necesitamos la La Seguridad es un proceso, artillería correcta Equipo Sólido No un producto ¿Preguntas? Alianzas Estratégicas Consulting Information Technology CIT
  • 18. CIT Less risk, better IT works www.consultinginformationtechnology.com info@consultinginformationtechnology.com www.facebook.com/CITNIC Consulting Information Technology CIT