SlideShare una empresa de Scribd logo

Seguridad PYMES

iaraoz
iaraoz

El documento proporciona una guía para implementar un sistema de gestión de seguridad de la información (SGSI) para pymes. Explica que es necesario determinar el alcance del SGSI en función a la misión y visión de la empresa, identificar y gestionar los activos de información, evaluar los riesgos, aplicar controles básicos de seguridad, implementar métricas, evaluar procesos y controles, informar sobre los resultados e impulsar la mejora continua.

Tecnología
1 de 30
Descargar para leer sin conexión
SEGURIDAD DE LA INFORMACIÓN PARA PYMES Israel Aráoz Severiche Profesional en seguridad de la Información https://medium.com/@iaraoz https://twitter.com/iara0z https://bo.linkedin.com/in/iaraoz iaraoz@tarsecurity.com
AGENDA • ¿Por donde comenzar? • 4 aspectos claves en la implementación de un SGSI según la norma ISO/IEC 27001:2013 • Planificar • Operación • Evaluar • Mejorar • Resumen • Recursos
RESUMEN Profesional : Ing. De Sistemas, Especialidad en Seguridad Informática Certificaciones : LA ISO/IEC 27001:2013 PECB, AI SO/IEC 27001:2013 TÜV,LI ISO 22301:2012 PECB, CEHv8 y CHFIv8 de EC- Council Autor del Libro : Implementación ISO/IEC 27001:2013: Un enfoque práctico Expositor : en conferencias de seguridad en Bolivia, Guatemala y Chile Experiencia : mas de 10 años de experiencia como consultor en seguridad de la información para Guatemala, Bolivia. Oficial de Seguridad de la Información en el sector de Hidrocarburos (Empresa certificada con la ISO/IEC 27001:2013) Fundador de https://www.tarsecurity.com
Gestión “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre” Lord Kelvin
¿POR DONDE COMENZAR? Misión y Visión de la empresa Procesos de Negocio, Recurso Humano Servicios de tecnología, Información Procesos Empresa Tecnología
4 ASPECTOS CLAVES C o n t e x t o d e l a empresa, requisitos r e g u l a t o r i o s , procesos, cultura organizacional OPERACIÓN EVALUAR PLANIFICAR MEJORA No conformidades, Acciones correctivas a p r o c e s o s y C o n t r o l e s d e Seguridad A c t i v o s d e Información, Gestion de riesgo, Controles de Seguridad Seguimiento, Métricas, Auditorias Internas
PLANIFICAR Al no prepararse, se está preparando para fallar Benjamin Franklin
LA EMPRESA LEGALES ECONÓMICO SOCIALES CULTURA ORG PROCESOS RRHH
ESTRUCTURA ORGANIZATIVA Gerencia General Tecnología de la Inf. Legal Recursos Humanos Auditoria OSI AuxiliarInfraestructura Base de Datos Apoyo de la alta dirección, asignación de recursos tecnológicos, humanos y financieros Identificar roles y asignar responsabilidades Gestión de seguridad alineada a los objetivos del negocio
OBJETIVOS • Política de Seguridad de la información • Debe ser precisa y concisa. • Establecer responsabilidades. • Evidenciar el liderazgo y Apoyo la implementación. • N o e s r e c o m e n d a b l e a g r e g a r términos “técnicos”, evitará entrerar en detallas con estos términos.
OPERACIÓN Cuando no sabemos a qué puerto nos dirigimos, todos los vientos son desfavorables SENECA
DOCUMENTACIÓN • Procedimiento para la gestión documental • Procedimientos, Políticas • Caratula (Titulo, codificación , versión, fecha de publicación) • Método de codificación • Contenido (Objetivo, Alcance, Responsabilidades, contenido , registros , distribución, sumario de revisiones ) • Quien aprobará, quien editará, periodicidad para la revisión • Registros y Anexos • Contenido (Titulo, codificación, logo, forma de almacenamiento)
DOCUMENTACIÓN
RIESGO Y CONTROLES • Seleccionar la metodología de evaluación • Definir impacto y probabilidad • Establecer los criterios de aceptación de riesgo • Debilidades y Amenazas • ISO/IEC 27005 • Magerit PROBABILIDAD Probable (3) 3 6 9 Ocasional (2) 2 4 6 Improbable (1) 1 2 3   Bajo (1) Medio (2) Alto (3) IMPACTO
RIESGO Y CONTROLES • Evaluación de riesgo ID Activo Propietario Amenaza Vulnerabilidad P I R C I D GR.001 S e r v i d o r d e Aplicaciones G e r e n t e d e Tecnología de la Información Fallas técnicas Mantenimiento d e e q u i p o Inadecuado 3 3 9 ü ü ü GR.002 S e r v i d o r d e Base de datos Administrador d e B a s e d e Datos. Acceso lógico no autorizado F a l t a d e controles de acceso lógicos. 2 2 4 ü ü ü GR.003 E q u i p o d e Escritorio G e r e n t e d e Tecnología de la Información C ó d i g o Malicioso A n t i v i r u s inadecuado 1 2 2 X   X   X GR.004 Equipo portátil G e r e n t e d e Tecnología de la Información Robo F a l t a d e c o n t r o l d e acceso físico 1 2 2 ü   X X
RIESGO Y CONTROLES • Controles de Seguridad de la Información • ISO/IEC 27002:2013 “Código de prácticas para los controles de seguridad de la información” • Los 20 controles críticos de CIS (Centro de seguridad de internet) • Controles de seguridad y privacidad para Sistemas de información federal y organizaciones (NIST, Instituto Nacional de Estándares y Tecnología)
RECURSOS HUMANOS • Establecer los perfiles para cada cargo • Experiencia y conocimiento (aplicable para los auditores internos) • Plan de capacitación al personal (Objetivo, periodicidad) • Concienciación e inducción al nuevo personal (Acuerdo de Confidencialidad) • Comunicación corporativa • Quién comunica • Cómo comunicar • Cuándo comunicar • Qué comunicar
EVALUAR Solo es útil el conocimiento que nos hace mejores SOCRATES
EVALUAR • Establecer Indicadores • Quién recolectará, analizará y presentará los resultados • Qué controles y procesos serán evaluados • Criterios de evaluación (necesidad del negocio) • Cada cuanto serán presentado los resultados • Que hacer en caso de que los resultados de evaluación no cumplan con los criterios (Ajustes a los controles o la gestión de riesgo)
EVALUAR CONTROL MEDIA CRITERIO FRECUENCIA C a p a c i t a c i ó n e n s e g u r i d a d d e l a información (Cant de usuarios c a p a c i t a d o s x 100 %) / Cant. De u s u a r i o s e n l a organización. R e s u l t a d o > 8 5 % Aceptable Resultado > 60% y Resultado < 85% Regular R e s u l t a d o < 6 0 % Incumplimiento Revisión : Trimestral PROCESOS SGSI No Conformidades ( C a n t . D e N o conformidades r e g i s t r a d a s x 100%) / (Cant. De N o conformidades c o r r e g i d a s a tiempo) Re s u l t a d o > 9 0 % Aceptable Resultado > 60% y Resultado < 90% Regular Re s u l t a d o < 6 0 % Incumplimiento Revisión : Mensual
EVALUAR • Auditoria Interna • Establecer programas de auditoria • Determinar perfil para auditor interno y Líder auditor • Desarrollar el plan de auditoria • Registro de Actividades de seguimiento • Consultar la norma ISO/IEC 19011:2018 Directrices para la auditoría de los sistemas de gestión
EVALUAR • Presentación de resultados • Redactar un documento para la gestión de la revisión por la dirección (responsables, periodicidad de revisión, quien convoca, participantes, etc.) • En la reunión se debe tomar en cuenta : • Resultados de indicadores • Resultados de la Auditoria Interna (Informe) • Estado del Plan de tratamiento de riesgo • No conformidades y acciones correctivas
MEJORA En la vida hay que progresar a diario, ser hoy más hábil que ayer y menos que mañana. El camino nunca termina YAMAMOTO TSUNETOMO
MEJORA • No conformidades y acciones correctivas • Determinar las causas de la no conformidad • Acciones para controlar y corregir NO NO CONFORMIDAD RESPONSABLE ACCIÓN NC001 N o s e i d e n t i f i c ó u n a m e t o d o l o g í a p a r a l a evaluación de riesgo. R e s p o n s a b l e d e S e g u r i d a d d e l a Información Redactar y aprobar un procedimiento para la evaluación de riesgo
MEJORA • Mejora Continua • Comentarios, Sugerencias de las partes interesadas • Actualización / Ajustes a los procesos de Gestion de Seguridad de la Información • Acciones propuestas por la alta dirección
RESUMEN • Es necesario determinar el alcance en función a la necesidad del negocio (Misíon, Visión) • Identificar y gestionar los activos de información e informaticos. • Evaluar el riesgo de los activos • Aplicar los controles (enfocarse en los “basics”) • Implementar metricas • Evaluar el desemepeño de procesos y controles • Informar sobre los resultados de evaluación • Mejora Continua
RECURSOS Guía de Implementación https://normaiso27001.es/evaluacion-del-desempeno-en-iso-27001/ https://medium.com/@iaraoz/iso-iec-27001-2013-mi-experiencia-en-la- implementacion-de-un-sgsi-132c682aa298 Controles de Seguridad https://www.cisecurity.org/controls/cis-controls-list/ https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf https://www.securecontrolsframework.com/ Métricas https://www.incibe.es/protege-tu-empresa/blog/mide-seguridad-informacion Gestion Documental https://www.seeddms.org/index.php?id=2
RECURSOS Gestión de Riesgo https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Me todolog/pae_Magerit.html https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario Capacitación y Concienciación https://www.incibe.es/protege-tu-empresa/kit-concienciacion
¿PREGUNTAS?
CONTACTO Israel Aráoz Severiche https://medium.com/@iaraoz https://twitter.com/iara0z https://bo.linkedin.com/in/iaraoz iaraoz@tarsecurity.com

Recomendados

Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Isc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5pIsc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5pIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundoUniversidad Cenfotec
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 

Recomendados

Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Isc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5pIsc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5pIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundoUniversidad Cenfotec
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Informe de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezInforme de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezlocoales
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Cia. Minera Subterránea
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Gestion por procesos
Gestion por procesosGestion por procesos
Gestion por procesosPrevencionar
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Certificacion Cisa
Certificacion CisaCertificacion Cisa
Certificacion CisaLuis Lopez
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 

Más contenido relacionado

La actualidad más candente

Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Informe de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezInforme de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezlocoales
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Gestion por procesos
Gestion por procesosGestion por procesos
Gestion por procesosPrevencionar
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Certificacion Cisa
Certificacion CisaCertificacion Cisa
Certificacion CisaLuis Lopez
 

La actualidad más candente (20)

Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Informe de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezInforme de auditoria dumar rodriguez
Informe de auditoria dumar rodriguez
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. Cyberseguridad
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Gestion por procesos
Gestion por procesosGestion por procesos
Gestion por procesos
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de Ciberseguridad
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
 
Certificacion Cisa
Certificacion CisaCertificacion Cisa
Certificacion Cisa
 

Similar a Seguridad PYMES

04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfSEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfPerraSuerteRaicilla
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducciónmarlexchaya
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Presentación gathering ees2
Presentación gathering ees2Presentación gathering ees2
Presentación gathering ees2Etna Estrella
 
IMPLEMENTACION de sistemas de Gestión de la Calidad
IMPLEMENTACION de sistemas de Gestión de la CalidadIMPLEMENTACION de sistemas de Gestión de la Calidad
IMPLEMENTACION de sistemas de Gestión de la Calidadjreynoso1
 
Grupo 4 auditoria interna (2).pptx
Grupo 4 auditoria interna (2).pptxGrupo 4 auditoria interna (2).pptx
Grupo 4 auditoria interna (2).pptxMara696718
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
CISA Domain 1 Español - Resúmenes del primer tema
CISA Domain 1 Español - Resúmenes del primer temaCISA Domain 1 Español - Resúmenes del primer tema
CISA Domain 1 Español - Resúmenes del primer temaDavidPardo96
 
El Auditor su actuación y el Control Interno
El Auditor su actuación y el Control InternoEl Auditor su actuación y el Control Interno
El Auditor su actuación y el Control InternoRosangelUricare
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerForo Global Crossing
 

Similar a Seguridad PYMES (20)

04 Softtek
04 Softtek04 Softtek
04 Softtek
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Auditoria y advanced analytics
Auditoria y advanced analyticsAuditoria y advanced analytics
Auditoria y advanced analytics
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfSEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducción
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Presentación gathering ees2
Presentación gathering ees2Presentación gathering ees2
Presentación gathering ees2
 
IMPLEMENTACION de sistemas de Gestión de la Calidad
IMPLEMENTACION de sistemas de Gestión de la CalidadIMPLEMENTACION de sistemas de Gestión de la Calidad
IMPLEMENTACION de sistemas de Gestión de la Calidad
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Grupo 4 auditoria interna (2).pptx
Grupo 4 auditoria interna (2).pptxGrupo 4 auditoria interna (2).pptx
Grupo 4 auditoria interna (2).pptx
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
CISA Domain 1 Español - Resúmenes del primer tema
CISA Domain 1 Español - Resúmenes del primer temaCISA Domain 1 Español - Resúmenes del primer tema
CISA Domain 1 Español - Resúmenes del primer tema
 
El Auditor su actuación y el Control Interno
El Auditor su actuación y el Control InternoEl Auditor su actuación y el Control Interno
El Auditor su actuación y el Control Interno
 
Iso27001
Iso27001Iso27001
Iso27001
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 

Último (20)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 

Seguridad PYMES

  • 1. SEGURIDAD DE LA INFORMACIÓN PARA PYMES Israel Aráoz Severiche Profesional en seguridad de la Información https://medium.com/@iaraoz https://twitter.com/iara0z https://bo.linkedin.com/in/iaraoz iaraoz@tarsecurity.com
  • 2. AGENDA • ¿Por donde comenzar? • 4 aspectos claves en la implementación de un SGSI según la norma ISO/IEC 27001:2013 • Planificar • Operación • Evaluar • Mejorar • Resumen • Recursos
  • 3. RESUMEN Profesional : Ing. De Sistemas, Especialidad en Seguridad Informática Certificaciones : LA ISO/IEC 27001:2013 PECB, AI SO/IEC 27001:2013 TÜV,LI ISO 22301:2012 PECB, CEHv8 y CHFIv8 de EC- Council Autor del Libro : Implementación ISO/IEC 27001:2013: Un enfoque práctico Expositor : en conferencias de seguridad en Bolivia, Guatemala y Chile Experiencia : mas de 10 años de experiencia como consultor en seguridad de la información para Guatemala, Bolivia. Oficial de Seguridad de la Información en el sector de Hidrocarburos (Empresa certificada con la ISO/IEC 27001:2013) Fundador de https://www.tarsecurity.com
  • 4. Gestión “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre” Lord Kelvin
  • 5. ¿POR DONDE COMENZAR? Misión y Visión de la empresa Procesos de Negocio, Recurso Humano Servicios de tecnología, Información Procesos Empresa Tecnología
  • 6. 4 ASPECTOS CLAVES C o n t e x t o d e l a empresa, requisitos r e g u l a t o r i o s , procesos, cultura organizacional OPERACIÓN EVALUAR PLANIFICAR MEJORA No conformidades, Acciones correctivas a p r o c e s o s y C o n t r o l e s d e Seguridad A c t i v o s d e Información, Gestion de riesgo, Controles de Seguridad Seguimiento, Métricas, Auditorias Internas
  • 7. PLANIFICAR Al no prepararse, se está preparando para fallar Benjamin Franklin
  • 9. ESTRUCTURA ORGANIZATIVA Gerencia General Tecnología de la Inf. Legal Recursos Humanos Auditoria OSI AuxiliarInfraestructura Base de Datos Apoyo de la alta dirección, asignación de recursos tecnológicos, humanos y financieros Identificar roles y asignar responsabilidades Gestión de seguridad alineada a los objetivos del negocio
  • 10. OBJETIVOS • Política de Seguridad de la información • Debe ser precisa y concisa. • Establecer responsabilidades. • Evidenciar el liderazgo y Apoyo la implementación. • N o e s r e c o m e n d a b l e a g r e g a r términos “técnicos”, evitará entrerar en detallas con estos términos.
  • 11. OPERACIÓN Cuando no sabemos a qué puerto nos dirigimos, todos los vientos son desfavorables SENECA
  • 12. DOCUMENTACIÓN • Procedimiento para la gestión documental • Procedimientos, Políticas • Caratula (Titulo, codificación , versión, fecha de publicación) • Método de codificación • Contenido (Objetivo, Alcance, Responsabilidades, contenido , registros , distribución, sumario de revisiones ) • Quien aprobará, quien editará, periodicidad para la revisión • Registros y Anexos • Contenido (Titulo, codificación, logo, forma de almacenamiento)
  • 14. RIESGO Y CONTROLES • Seleccionar la metodología de evaluación • Definir impacto y probabilidad • Establecer los criterios de aceptación de riesgo • Debilidades y Amenazas • ISO/IEC 27005 • Magerit PROBABILIDAD Probable (3) 3 6 9 Ocasional (2) 2 4 6 Improbable (1) 1 2 3   Bajo (1) Medio (2) Alto (3) IMPACTO
  • 15. RIESGO Y CONTROLES • Evaluación de riesgo ID Activo Propietario Amenaza Vulnerabilidad P I R C I D GR.001 S e r v i d o r d e Aplicaciones G e r e n t e d e Tecnología de la Información Fallas técnicas Mantenimiento d e e q u i p o Inadecuado 3 3 9 ü ü ü GR.002 S e r v i d o r d e Base de datos Administrador d e B a s e d e Datos. Acceso lógico no autorizado F a l t a d e controles de acceso lógicos. 2 2 4 ü ü ü GR.003 E q u i p o d e Escritorio G e r e n t e d e Tecnología de la Información C ó d i g o Malicioso A n t i v i r u s inadecuado 1 2 2 X   X   X GR.004 Equipo portátil G e r e n t e d e Tecnología de la Información Robo F a l t a d e c o n t r o l d e acceso físico 1 2 2 ü   X X
  • 16. RIESGO Y CONTROLES • Controles de Seguridad de la Información • ISO/IEC 27002:2013 “Código de prácticas para los controles de seguridad de la información” • Los 20 controles críticos de CIS (Centro de seguridad de internet) • Controles de seguridad y privacidad para Sistemas de información federal y organizaciones (NIST, Instituto Nacional de Estándares y Tecnología)
  • 17. RECURSOS HUMANOS • Establecer los perfiles para cada cargo • Experiencia y conocimiento (aplicable para los auditores internos) • Plan de capacitación al personal (Objetivo, periodicidad) • Concienciación e inducción al nuevo personal (Acuerdo de Confidencialidad) • Comunicación corporativa • Quién comunica • Cómo comunicar • Cuándo comunicar • Qué comunicar
  • 18. EVALUAR Solo es útil el conocimiento que nos hace mejores SOCRATES
  • 19. EVALUAR • Establecer Indicadores • Quién recolectará, analizará y presentará los resultados • Qué controles y procesos serán evaluados • Criterios de evaluación (necesidad del negocio) • Cada cuanto serán presentado los resultados • Que hacer en caso de que los resultados de evaluación no cumplan con los criterios (Ajustes a los controles o la gestión de riesgo)
  • 20. EVALUAR CONTROL MEDIA CRITERIO FRECUENCIA C a p a c i t a c i ó n e n s e g u r i d a d d e l a información (Cant de usuarios c a p a c i t a d o s x 100 %) / Cant. De u s u a r i o s e n l a organización. R e s u l t a d o > 8 5 % Aceptable Resultado > 60% y Resultado < 85% Regular R e s u l t a d o < 6 0 % Incumplimiento Revisión : Trimestral PROCESOS SGSI No Conformidades ( C a n t . D e N o conformidades r e g i s t r a d a s x 100%) / (Cant. De N o conformidades c o r r e g i d a s a tiempo) Re s u l t a d o > 9 0 % Aceptable Resultado > 60% y Resultado < 90% Regular Re s u l t a d o < 6 0 % Incumplimiento Revisión : Mensual
  • 21. EVALUAR • Auditoria Interna • Establecer programas de auditoria • Determinar perfil para auditor interno y Líder auditor • Desarrollar el plan de auditoria • Registro de Actividades de seguimiento • Consultar la norma ISO/IEC 19011:2018 Directrices para la auditoría de los sistemas de gestión
  • 22. EVALUAR • Presentación de resultados • Redactar un documento para la gestión de la revisión por la dirección (responsables, periodicidad de revisión, quien convoca, participantes, etc.) • En la reunión se debe tomar en cuenta : • Resultados de indicadores • Resultados de la Auditoria Interna (Informe) • Estado del Plan de tratamiento de riesgo • No conformidades y acciones correctivas
  • 23. MEJORA En la vida hay que progresar a diario, ser hoy más hábil que ayer y menos que mañana. El camino nunca termina YAMAMOTO TSUNETOMO
  • 24. MEJORA • No conformidades y acciones correctivas • Determinar las causas de la no conformidad • Acciones para controlar y corregir NO NO CONFORMIDAD RESPONSABLE ACCIÓN NC001 N o s e i d e n t i f i c ó u n a m e t o d o l o g í a p a r a l a evaluación de riesgo. R e s p o n s a b l e d e S e g u r i d a d d e l a Información Redactar y aprobar un procedimiento para la evaluación de riesgo
  • 25. MEJORA • Mejora Continua • Comentarios, Sugerencias de las partes interesadas • Actualización / Ajustes a los procesos de Gestion de Seguridad de la Información • Acciones propuestas por la alta dirección
  • 26. RESUMEN • Es necesario determinar el alcance en función a la necesidad del negocio (Misíon, Visión) • Identificar y gestionar los activos de información e informaticos. • Evaluar el riesgo de los activos • Aplicar los controles (enfocarse en los “basics”) • Implementar metricas • Evaluar el desemepeño de procesos y controles • Informar sobre los resultados de evaluación • Mejora Continua
  • 27. RECURSOS Guía de Implementación https://normaiso27001.es/evaluacion-del-desempeno-en-iso-27001/ https://medium.com/@iaraoz/iso-iec-27001-2013-mi-experiencia-en-la- implementacion-de-un-sgsi-132c682aa298 Controles de Seguridad https://www.cisecurity.org/controls/cis-controls-list/ https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf https://www.securecontrolsframework.com/ Métricas https://www.incibe.es/protege-tu-empresa/blog/mide-seguridad-informacion Gestion Documental https://www.seeddms.org/index.php?id=2