SlideShare una empresa de Scribd logo

Norma iso 17799

Descargar como PPTX, PDF
Freddy Fernando Cajamarca Sarmiento
Freddy Fernando Cajamarca Sarmiento

La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ

1 de 16
AUDITOTIA DE SISTEMA TIC´S
QUE ES ISO (ORGANIZACIÓN INTERNACIONAL PARA LA ESTANDARIZA CION) Son normas de calidad establecidas por la organización internacional para la estandarización que se pude aplicar en cualquier tipo de organización. Se componen de estándares y guías relacionados con sistema de gestión y de herramientas especificas como los métodos de auditoria ( el proceso de verificar que los sistemas de gestión cumplan con el estándar). NORMA ISO 17799: Es una norma internacional que ofrece recomendación para la gestión de la seguridad de la información enfocada en el inicio, implantación o mantenimiento de la seguridad en una organización.
¿ES CERTIFICABLE LA ISO 17799? Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse. OBJETIVO El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
ORIENTACIÓN DE LA NORMA ISO 17799? La norma ISO 17799 no es una norma tecnológica. La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios.
DOMINIOS DE CONTROL
1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones. 2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos. 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc)
8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso. 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información 10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres. 11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
DE ESTOS ONCE DOMINIOS SE DERIVAN LOS: Objetivos de control, resultados que se esperan alcanzar mediante la implementación de controles. Los controles, que son las prácticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.
LA SEGURIDAD Es difícil de medir, la mayor parte del tiempo oímos de ella solo cuando falla, la Seguridad es una sensación y una realidad. Sentirse seguro no es realmente estar protegido. El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de riesgo y lo que está dispuesto a dar por las medidas que tome. No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza. SEGURIDAD DE LA INFORMACIÓN. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
La seguridad de la información se define como la preservación de: ▪ Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. ▪ Integridad. Garantía de la exactitud y totalidad de la información y de los métodos de procesamiento. ▪ Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a los recursos relacionados. Todo esto, según el nivel requerido para los objetivos de negocio de la empresa.
Objetivos Asegurar la continuidad de la empresa. Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. Minimizar el riesgo. Maximizar las oportunidades del negocio Por qué es necesaria • Porque existe gran variedad de Riesgos y Amenazas: • Fraudes, espionaje, sabotaje, vandalismo, incendio, inundación, Hacking, virus, denegación de servicio, etc. • Provenientes de múltiples fuentes. • Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y servicios de información interconectados. • La mayoría de los sistemas de información no han sido diseñados para ser seguros.
¿Qué sucede si falla? Pérdidas o falsos datos financieros Pérdida de negocios, clientes y cuota de mercado Responsabilidad legal – denuncias, litigios, multas, etc. Daño a la imagen de la empresa Interrupción de las operaciones Mayores costos de operación Costo de recuperación para volver a la situación inicial Evaluación y Análisis de Riesgos Análisis de riesgos - Es una consideración sistemática: Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de pérdida de la confidencialidad, integridad o disponibilidad Se evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados.
Los controles que se consideran esenciales para una organización, desde el punto de vista legal comprenden: • • • • • • • • • • Protección de datos y confidencialidad de la información personal. Protección de registros y documentos de la organización Derechos de propiedad intelectual Selección e Implementación de Controles Los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información comprenden: Documentación de la política de seguridad de la información Asignación de responsabilidades en materia de seguridad de la información Instrucción y entrenamiento en materia de seguridad de la información Comunicación de incidentes relativos a la seguridad Administración de la continuidad de la empresa.
VENTAJAS DE LA ADOPCIÓN DE LA NORMA ISO 17799 • • • • • Aumento de la seguridad efectiva de los sistemas de información. ƒ Correcta planificación y gestión de la seguridad. ƒ Garantías de continuidad del negocio. ƒ Mejora continua a través del proceso de auditoría interna. ƒ Incremento de los niveles de confianza de los clientes y socios de negocios. • ƒ Aumento del valor comercial y mejora de la imagen de la organización.
CONCLUSIONES: • • • • • • ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización. La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad. Hay que hacer análisis periódicos de los Riesgos y monitorear continuamente la situación Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.

Recomendados

Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

Recomendados

Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemasGladys Rodriguez
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionAbner Gerardo
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Magerit
MageritMagerit
MageritKrolina Agui
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Ingeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientosIngeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientosCesar Prado
 
ciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacionciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informaciondavinson garcia
 
Iso 1799
Iso 1799Iso 1799
Iso 1799JosefaTsu
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 

Más contenido relacionado

La actualidad más candente

Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemasGladys Rodriguez
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionAbner Gerardo
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Ingeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientosIngeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientosCesar Prado
 
ciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacionciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informaciondavinson garcia
 

La actualidad más candente (20)

Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacion
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Magerit
MageritMagerit
Magerit
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Ingeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientosIngeniería de requisitos e ingeniería de requerimientos
Ingeniería de requisitos e ingeniería de requerimientos
 
ciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacionciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacion
 

Destacado

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017NVIDIA
 
Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017NVIDIA
 

Destacado (11)

Iso 1799
Iso 1799Iso 1799
Iso 1799
 
Seguridad
SeguridadSeguridad
Seguridad
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
 
Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017
 

Similar a Norma iso 17799

Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 

Similar a Norma iso 17799 (20)

Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 

Norma iso 17799

  • 2. QUE ES ISO (ORGANIZACIÓN INTERNACIONAL PARA LA ESTANDARIZA CION) Son normas de calidad establecidas por la organización internacional para la estandarización que se pude aplicar en cualquier tipo de organización. Se componen de estándares y guías relacionados con sistema de gestión y de herramientas especificas como los métodos de auditoria ( el proceso de verificar que los sistemas de gestión cumplan con el estándar). NORMA ISO 17799: Es una norma internacional que ofrece recomendación para la gestión de la seguridad de la información enfocada en el inicio, implantación o mantenimiento de la seguridad en una organización.
  • 3. ¿ES CERTIFICABLE LA ISO 17799? Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse. OBJETIVO El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
  • 4. ORIENTACIÓN DE LA NORMA ISO 17799? La norma ISO 17799 no es una norma tecnológica. La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios.
  • 6. 1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones. 2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
  • 7. 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos. 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc)
  • 8. 8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso. 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información 10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres. 11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
  • 9. DE ESTOS ONCE DOMINIOS SE DERIVAN LOS: Objetivos de control, resultados que se esperan alcanzar mediante la implementación de controles. Los controles, que son las prácticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.
  • 10. LA SEGURIDAD Es difícil de medir, la mayor parte del tiempo oímos de ella solo cuando falla, la Seguridad es una sensación y una realidad. Sentirse seguro no es realmente estar protegido. El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de riesgo y lo que está dispuesto a dar por las medidas que tome. No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza. SEGURIDAD DE LA INFORMACIÓN. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
  • 11. La seguridad de la información se define como la preservación de: ▪ Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. ▪ Integridad. Garantía de la exactitud y totalidad de la información y de los métodos de procesamiento. ▪ Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a los recursos relacionados. Todo esto, según el nivel requerido para los objetivos de negocio de la empresa.
  • 12. Objetivos Asegurar la continuidad de la empresa. Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. Minimizar el riesgo. Maximizar las oportunidades del negocio Por qué es necesaria • Porque existe gran variedad de Riesgos y Amenazas: • Fraudes, espionaje, sabotaje, vandalismo, incendio, inundación, Hacking, virus, denegación de servicio, etc. • Provenientes de múltiples fuentes. • Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y servicios de información interconectados. • La mayoría de los sistemas de información no han sido diseñados para ser seguros.
  • 13. ¿Qué sucede si falla? Pérdidas o falsos datos financieros Pérdida de negocios, clientes y cuota de mercado Responsabilidad legal – denuncias, litigios, multas, etc. Daño a la imagen de la empresa Interrupción de las operaciones Mayores costos de operación Costo de recuperación para volver a la situación inicial Evaluación y Análisis de Riesgos Análisis de riesgos - Es una consideración sistemática: Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de pérdida de la confidencialidad, integridad o disponibilidad Se evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados.
  • 14. Los controles que se consideran esenciales para una organización, desde el punto de vista legal comprenden: • • • • • • • • • • Protección de datos y confidencialidad de la información personal. Protección de registros y documentos de la organización Derechos de propiedad intelectual Selección e Implementación de Controles Los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información comprenden: Documentación de la política de seguridad de la información Asignación de responsabilidades en materia de seguridad de la información Instrucción y entrenamiento en materia de seguridad de la información Comunicación de incidentes relativos a la seguridad Administración de la continuidad de la empresa.
  • 15. VENTAJAS DE LA ADOPCIÓN DE LA NORMA ISO 17799 • • • • • Aumento de la seguridad efectiva de los sistemas de información. ƒ Correcta planificación y gestión de la seguridad. ƒ Garantías de continuidad del negocio. ƒ Mejora continua a través del proceso de auditoría interna. ƒ Incremento de los niveles de confianza de los clientes y socios de negocios. • ƒ Aumento del valor comercial y mejora de la imagen de la organización.
  • 16. CONCLUSIONES: • • • • • • ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización. La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad. Hay que hacer análisis periódicos de los Riesgos y monitorear continuamente la situación Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.