SlideShare una empresa de Scribd logo

Iso 27000 estandar

Iso 27000 estandar

1 de 41
ESTÁNDARES Y NORMAS DE
SEGURIDAD
ISO 27000
WILSON CASTAÑO GALVIZ
ELIZABETH DANIELA MERCHAN CARDOZA
MARÍA ALEJANDRA MERCHAN VILLALBA
UNIVERSIDAD POPULAR DEL CESAR SECCIONAL
AGUACHICA
2013
Contenido de la presentación
ISO 27000
¿ Porque normas y estándares de
seguridad?
Herramientas.
Que incluye un SGSI
Como se implementa un SGSI.
Origen de ISO 27000.
La serie 27000.
Beneficios.
Cibergrafía.
La información es un activo vital
para cualquier organización, y su
resguardo se ha convertido en su
objetivo de primer nivel.
El manejo adecuado de la
información debe seguir una
serie de parámetros los cuales
deben abordar de manera
metódica y documentada los
pasos a seguir ante cualquier
eventualidad.
INTRODUCCIÓN
¿ PORQUE NORMAS Y
ESTÁNDARES DE
SEGURIDAD?
ISO 27000
Las organizaciones necesitan
demostrar que realizan una gestión
competente y efectiva de la
seguridad de los recursos y datos
que gestionan.
− Deben demostrar que identifican
y detectan los riesgos a los que
está sometida y que adoptan
medidas adecuadas y
proporcionadas.
− Confidencialidad, integridad y
disponibilidad.
¿ Porque normas y estándares de
seguridad?
HERRAMIENTAS
ISO 27000

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Iso 27001 interpretación introducción
Iso 27001   interpretación introducciónIso 27001   interpretación introducción
Iso 27001 interpretación introducción
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000 nueva copia
Iso 27000 nueva   copiaIso 27000 nueva   copia
Iso 27000 nueva copia
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
Iso 27k abril 2013
Iso 27k   abril 2013Iso 27k   abril 2013
Iso 27k abril 2013
 
iso 27005
iso 27005iso 27005
iso 27005
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
What is iso 27001 isms
What is iso 27001 ismsWhat is iso 27001 isms
What is iso 27001 isms
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Magerit
MageritMagerit
Magerit
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 

Destacado

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 

Destacado (10)

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
NORMA ISO 90003
NORMA ISO 90003NORMA ISO 90003
NORMA ISO 90003
 
MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD
 
Ciclo de deming
Ciclo de demingCiclo de deming
Ciclo de deming
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgos
 

Similar a Iso 27000 estandar (20)

9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso Iso27001
Curso Iso27001Curso Iso27001
Curso Iso27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Is
IsIs
Is
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 

Más de Maria Villalba

Más de Maria Villalba (6)

Ethernet
EthernetEthernet
Ethernet
 
Criptologia
CriptologiaCriptologia
Criptologia
 
OSS TMM
OSS TMMOSS TMM
OSS TMM
 
ISACA
ISACAISACA
ISACA
 
Joomla y no-ip
Joomla y no-ipJoomla y no-ip
Joomla y no-ip
 
Exposicion valores eticos
Exposicion valores eticosExposicion valores eticos
Exposicion valores eticos
 

Iso 27000 estandar

  • 1. ESTÁNDARES Y NORMAS DE SEGURIDAD ISO 27000 WILSON CASTAÑO GALVIZ ELIZABETH DANIELA MERCHAN CARDOZA MARÍA ALEJANDRA MERCHAN VILLALBA UNIVERSIDAD POPULAR DEL CESAR SECCIONAL AGUACHICA 2013
  • 2. Contenido de la presentación ISO 27000 ¿ Porque normas y estándares de seguridad? Herramientas. Que incluye un SGSI Como se implementa un SGSI. Origen de ISO 27000. La serie 27000. Beneficios. Cibergrafía.
  • 3. La información es un activo vital para cualquier organización, y su resguardo se ha convertido en su objetivo de primer nivel. El manejo adecuado de la información debe seguir una serie de parámetros los cuales deben abordar de manera metódica y documentada los pasos a seguir ante cualquier eventualidad. INTRODUCCIÓN
  • 4. ¿ PORQUE NORMAS Y ESTÁNDARES DE SEGURIDAD? ISO 27000
  • 5. Las organizaciones necesitan demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Confidencialidad, integridad y disponibilidad. ¿ Porque normas y estándares de seguridad?
  • 7. HERRAMIENTAS Proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. Es el concepto central sobre el que se construye ISO 27001. SGSI (Sistema de Gestión de la Seguridad de la Información).
  • 8. QUE INCLUYE UN SGSI ISO 27000
  • 10. COMO SE IMPLEMENTA UN SGSI. Funciones de Bessel
  • 11. Como se implementa un SGSI Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.
  • 12. ORIGEN DE ISO 27000. Funciones de Bessel
  • 14. ISO/IEC 27000 • “ISO/IEC 27000 es un conjunto de estándares desarrollados en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña”.
  • 16. LA SERIE 27000. • Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos. • La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
  • 19. ISO/IEC 27001 Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799- 2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
  • 20. ISO/IEC 27001 Objetivo: Mejora continua Se adopta el modelo Plan-Do-Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización, se basa en un ciclo de mejora continua, en consecuencia con lo que se haya detectado al efectuar las comprobaciones.
  • 21. Anexo A, es de carácter normativo, contiene una tabla en las que se identifican los controles y objetivos del control de la versión del año 1005 de la ISO/IEC 17799 Anexo B, es de carácter informativo, proporciona una correlación entre cada principio de la OCDE con el proceso del SGSI y una fase del PDCA. Anexo C, incluye la correspondencia entre los capitulos de la norma ISO/IEC 27001 y las normas ISO 9001 e ISO 14001. A. 5 Política de seguridad A. 6 Organización de la seguridad de la información A. 7 Gestión de activos A. 8 Seguridad relacionada con el personal A. 9 Seguridad física y del entorno A. 10 Gestión de comunicaciones y operaciones A. 11 Control de acceso A. 12 Adquisición, desarrollo y mantenimiento de los sistemas de la información A. 13 Gestión de los incidentes de seguridad de la información A. 14 Gestión de la continuidad del negocio A. 15 Cumplimiento
  • 22. ISO/IEC 27001/ Ley orgánica de protección de datos La Ley Orgánica de Protección de Datos (LOPD) tiene como principal finalidad proteger derechos fundamentales de las personas, como son el derecho al honor, la intimida d personal y la propia imagen de todas las personas físicas.
  • 23. ISO/IEC 27001/Beneficios • Una Auditoria de seguridad es una fuente clave de información para el conocimiento de seguridad de una empresa. • Demuestra un compromiso inequívoco de los órganos de dirección de la empresa con el sistema de gestión de la seguridad de la información, además del cumplimiento de los requisitos legales, reglamentarios y contractuales.
  • 24. ISO/IEC 27001/ Implantación • La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido.
  • 25. • La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. ISO/IEC 27001/ Certificación
  • 27. ISO/IEC 27002 código de buenas prácticas para la gestión de la seguridad Dentro de su contenido podemos encontrar: • Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización • Describe los objetivos de control y especifica los controles recomendables a implantar.
  • 28. ISO/IEC 27002/Historia (anteriormente denominada como ISO 17799) estándar creado por primera vez como 17799:2000 por la ISO y por la CEI en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005.
  • 29. ISO/IEC 27002/Objetivos de la norma - Servir de punto de información de la serie de normas ISO 27000 y de la gestión de seguridad de la información mediante la aplicación de controles óptimos a las necesidades de las organizaciones en cada momento. - establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.
  • 31. ISO/IEC 27000 Y SUS DEMÁS DERIVACIONES ISO 27000
  • 32. • ISO/IEC 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do- Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) • ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
  • 33. • ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad). • ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación
  • 34. • ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000. • ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) . • ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo).
  • 35. • ISO/IEC 27032: guía relativa a la ciber seguridad (en desarrollo) • ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo) • ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
  • 37. BENEFICIOS • Reduce los riesgos de seguridad de la información. • Reduce la probabilidad y el impacto de los incidentes • de seguridad • La certificación de un estándar internacional. • Ventajas de marketing, etc. • Enfoque coherente, estructurado. Evaluación integral de riesgos • Focaliza el gasto en seguridad de la información donde produce mayor ventaja. • Gobernanza demostrable
  • 39. CIBERGRAFÍA • "CONFEDERACIÓN DE EMPRESARIOS DE NAVARRA", España,2013. Disponible: http://www.varios.cen7dias.es/documentos/documentos/ 90/iso.pdf • “ISO 27000”, España, 2013. Disponible: http://www.iso27000.es/iso27000.html • "ISO 27002",Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/5-1-Pol%C3%ADtica-de- seguridad-de-la-informaci%C3%B3n.html
  • 40. CIBERGRAFÍA • "ISO 27002", Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/Objetivos.html • "PORTAL DE SEGURIDAD CLM", España,2013. Disponible: http://protegete.jccm.es/protegete/opencms/Administr acion/Seguridad/Estandares/ISO27000.html • “UNIVERSIDAD DE VIGO”, España, 2013. Disponible: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

Notas del editor

  1. Este Esta presentación, que se recomienda ver en modo de presentación, muestra las nuevas funciones de PowerPoint. Estas diapositivas están diseñadas para ofrecerle excelentes ideas para las presentaciones que creará en PowerPoint 2010.Para obtener más plantillas de muestra, haga clic en la pestaña Archivo y después, en la ficha Nuevo, haga clic en Plantillas de muestra.