SlideShare una empresa de Scribd logo

Implantacion del iso_27001_2005

M
mrg30n301976
Educación
1 de 36
Descargar para leer sin conexión
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y tasados? 2
Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 INFORMACIÓN billones de dólares por ataques computarizados en 1998 EN LA EMPRESA –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela INFORMACIÓN afirman que en el año 1997 las pérdidas por concepto de EN LA EMPRESA clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
La información en la empresa es uno de los más importantes activos que se poseen. INFORMACIÓN EN LA Las organizaciones tienen que desarrollar mecanismos que EMPRESA les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
El nuevo estándar internacional, el ISO 27001:2005, está ISO 27001:2005 orientado a establecer un sistema gerencial que permita SISTEMA DE GESTIÓN DE minimizar el riesgo y proteger la información en las SEGURIDAD DE empresas, de amenazas externas o internas. INFORMACIÓN •Grupo de trabajo de la industria se establece en 1993 HISTORIA DEL •Código de práctica - 1993 ESTÁNDAR •British standard - 1995 BS 7799 •BS 7799 parte 2 - 1998 E •BS 7799 parte 1 - 1998 ISO 17799 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS / ISO / IEC – 17799 - 2000 6
ISO 27001:2005- SISTEMA DE ISO / IEC 17799 : 2005 GESTIÓN DE Código de práctica de seguridad en la gestión de la SEGURIDAD DE información – Basado en BS 7799 – 1 : 2000. INFORMACIÓN .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la ¿QUÉ ES bóveda los “backups”. SEGURIDAD DE INFORMACIÓN? Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10
PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11
HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS ISO 27001:2005 ORGANIZACIONALES Establecer el SGSI a) Definir el alcance del SGSI (Sección 4.2.1) b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia 12
HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS BS 7799-2:2002 ORGANIZACIONALES Implementar y operar a) Formular un plan para tratamiento del riesgo el SGSI b) Implementar el plan de tratamiento del riesgo (Sección 4.2.2) c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos 13
ACTIVIDADES CLÁUSULAS HOJA DE RUTA ORGANIZACIONALES PARA CUMPLIR Monitorear y revisar el a) Ejecutar procedimientos de monitoreo CON EL SGSI b) Efectuar revisiones regulares de la eficacia del ISO 27001:2005 (Sección 4.2.3) SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el a) Implementar las mejoras identificadas SGSI b) Tomar apropiadas acciones correctivas y (Sección 4.2.4) preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados 14
Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2000 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 15
Taller estratégico con la Definir alcance METODOLOGÍA PASO I gerencia para analizar del modelo DETALLADA Entendimiento requerimientos del PARA IMPLANTAR EL de los modelo ISO 27001:2005 SISTEMA DE requerimientos GESTIÓN DE del modelo SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO II Informe a la gerencia Efectuar “Gap Analysis” Determinación de la brecha Determinar la brecha y estimar presupuesto y cronograma 16
Evaluación PASO III del riesgo Efectuar un análisis y Análisis y evaluación del riesgo METODOLOGÍA DETALLADA evaluación del Política PARA riesgo documentada -Amenazas, Política de IMPLANTAR EL SISTEMA DE -Vulnerabilidades seguridad -Impactos GESTIÓN DE SEGURIDAD DE INFORMACIÓN PASO IV Plan de ISO 27001:2005 continuidad Elaboración Plan de continuidad comercial Plan de gestión comercial del negocio documentado de continuidad comercial Plan de trata- Enfoque de la miento del riesgo gerencia para Gerencia del riesgo tratar el riesgo Tabla de Seleccionar controles y controles Utilización de objetivos de control a Anexo A de la norma implantar 17
Enunciado de aplicabilidad Enunciado Elaborar un enunciado documentado METODOLOGÍA de aplicabilidad de aplicabilidad DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE PASO V Entrenamiento en SEGURIDAD DE documentación de INFORMACIÓN Desarrollo de procedimientos, instruc- ISO 27001:2005 competencias ciones de trabajo Procedimiento organizacionales para manejo de Taller estratégico para la acción manejo de la acción correctiva correctiva y preventiva Procedimiento de Taller estratégico para auditoria interna el manejo de la auditoria documentado interna 18
Manual de METODOLOGÍA Seguridad de PASO VI Elaboración del manual Información DETALLADA PARA de seguridad de Documentado Redacción información IMPLANTAR EL del manual de SISTEMA DE GESTIÓN DE Seguridad de SEGURIDAD DE Información INFORMACIÓN Informe de la ISO 27001:2005 PASO VII Efectuar auditoria auditoria interna interna Ejecución de Auditorias Internas Entrega de PASO VIII Auditoria de empresa informe certificadora Obtención de la certificación internacional 19
ENFOQUE DE DEFINIR UNA POLÍTICA DEFINIR EL ALCANCE LAS SEIS DE SEGURIDAD DE DEL MODELO FASES INFORMACIÓN ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 EFECTUAR UN ANÁLISIS DEFINIR OPCIONES DE Y EVALUACIÓN DEL TRATAMIENTO DEL RIESGO RIESGO SELECCIONAR PREPARAR UN CONTROLES A ENUNCIADO DE IMPLANTAR APLICABILIDAD 20
CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 21
DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”. 22
Una vez determinado el alcance del modelo en la IDENTIFICA- empresa, se debe proceder a identificar los CIÓN DE distintos activos de información, los cuales se ACTIVOS DE convierten en el eje principal del modelo. INFORMACIÓN Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor. 23
ANÁLISIS Y A los activos de información se les debe efectuar EVALUACIÓN un análisis y evaluación del riesgo, e identificar los DEL RIESGO controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 24
Los activos de información son clasificados por el ANÁLISIS Y EVALUACIÓN ISO 17799:2005 en las siguientes categorías: DEL RIESGO -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.) 25
Al establecer el alcance, en la organización ALCANCE DEL SGSI financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información. 26
AHORROS CAPTACIONES SBS Ministerio BCR Público PER IPLO P Ahorros ST s Tesor Agencia e ría Se red. r Clie vicio . de C Adm n te Au d. I nt . Apertura Aceptación Con Nuevos Operaciones Pagos Emisiones Clientes Clientes tab . -Atenc. Y Cons. -Definición Pro. -Depósitos -Recepción Doc. -Consultas -Inscripción -Requisitos -Retiros -Autrización -Reclamos -Actualización -Condiciones -Transferencias -Entrega Efectivo -Emisión de Ext. -Recepción S/ $ -OT -Registro -Emisión de Cartas -Genera Cta. -Bloq. Y Desbloq. -FSD (ctas. > 10 años) -Lavado de Activos -OP (Entrega y recep) -Anexos SBS -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones Cli Sistem AAS en as te . s . Leg Logística ridad Ases Créditos Segu s nte REN IE Clie C Corresponsales AFP’s
TASACIÓN DE ACTIVOS DE INFORMACIÓN ACTIVOS DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL - Base de datos ahorros 4 4 4 4 - Base de datos clientes 5 5 4 5 - Equipo de cómputo 2 2 4 2 - Línea dedicada 2 2 5 3 - Internet 2 1 3 2 - Servidor de archivos 5 5 4 5 - Servidor 5 4 4 4 - Copias de backup 5 5 3 4 - Switchers 1 1 5 2 - Router’s 1 1 5 2 - Modem 1 1 5 2 - Líneas telefónicas 4 2 3 3 - Central telefónica 4 2 3 3 - Disco duro 5 5 3 4 - Cámaras de video 1 1 5 2 - Teléfonos 4 1 3 3
DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓN PROPIETARIOS 1. BASE DE DATOS CLIENTES SERVICIO AL CLIENTE 2. SERVIDOR SISTEMAS 3. JEFE DE AHORROS AHORROS 4. BASE DE DATOS AHORROS SISTEMAS 5. CLAVES AHORROS 6. SERVIDOR DE ARCHIVOS SISTEMAS 7. COPIAS DE BACKUP SISTEMAS 8. DISCO DURO Y GRAB. (Videos) SISTEMAS 9. REGISTROS DE CLIENTES AHORROS 10. FORMATOS AHORROS 11. VOUCHER’S ADM. DE CRÉDITOS 12. FORMATO LAVADO ACTIVOS AHORROS
ANÁLISIS Y EVALUACIÓN DEL RIESGO POSIBILI- POSIBI- VALOR CRITERIO ACTIVOS POSIBI- DAD QUE LIDAD DE PARA OBJETIVOS NIVELES DE DE LIDAD VULNERA- AMENAZA DE OCU- CRITI- CONTRO- AMENAZAS ACTIVOS TOTAL ACEPTAR DE ACEPTACION INFORMA- OCU- BILIDADES PENETRE RRENCIA CIDAD LES DE EL CONTROL DEL RIESGO CIÓN RRENCIA VULNERA- DE AME- RIESGOS RIESGO BILIDAD NAZA 1. BASE DE - Hckers 2 - Falta de 2 - Verificación A.5.1 Promocionar dirección A.5.1.1 semanal de ac- gerencial y apoyo a la S.I. A.5.1.2 DATOS - Deterioro 4 antivirus tualizaciones A.6.1 Seguridad del equipo: A.7.2.4 AHORROS fisico - Libre acce- 5 - El sistema evitar la pérdida, daño o so permite control compromiso de los activos automático y la interrupción de las ac- de incidentes tividades comerciales. A.6.2 Proteger la integridad A.6.2.1 4 4 16 C del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad A.7.1.1 y disponibilidad de los ser- A.7.1.2 vicios de procesamiento de información y comunica- ciones. 2. SERVI- - Virus 2 - Software 3 - Parches de A.9.2. Proteger la integridad A.9.2.1 software del software y la informa- DOR - Rayos desactuali- - Verificación ción del daño de software zado 4 semanal de malicioso. 4 - Falta para actualizacio- nes. rayos 4 4 16 C 3. BASE DE - Errores en 4 - Mala progra 2 - Verificación A.9.2 Minimizar el riesgo de A.9.2.1 diaria de ac- fallas en los sistemas. A.9.2.2 DATOS digitación mación tualizaciones A.10.1 Asegurar que se in- A.10.1.1 CLIENTES - Mala valida- 5 - El sistema corpore seguridad en los ción y prue- permite regis- sistemas de información. tro e impresión A.10.2 Evitar la pérdida, mo- A.10.2.1 bas de incidentes dificación o mal uso de la A.10.2.2 - Parches de data del usuario en los sis- A.10.2.3 5 4 20 C software temas de información. A.10.3 Asegurar que los pro A.10.3.1 yectos T.I. y las actividades A.10.3.3 de apoyo se reducen de manera segura.
PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 31
Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2005 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 32
-Los ataques de virus continúan como la principal RESULTADOS DEL COMPUTER fuente de grandes pérdidas financieras. CRIME AND -El uso no autorizado de sistemas de computación SECURITY ha incrementado. SURVEY/ FBI 2005 -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante. 33
Los 15 requerimientos son una lista de chequeo VISA ACCOUNT para lograr conformidad con el estándar. INFORMATION SECURITY 1. Establecer política para la contratación de STANDARDS personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus. 34
9. Mantener al día los parches a software VISA ACCOUNT INFORMATION 10. No utilizar “passwords” para sistemas y otros SECURITY parámetros de seguridad proporcionado por STANDARDS terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos 35
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe

Recomendados

Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registrosgestiondecalidad2011
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Normatecnica
NormatecnicaNormatecnica
NormatecnicaJhon Egoavil
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 

Recomendados

Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registrosgestiondecalidad2011
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Normatecnica
NormatecnicaNormatecnica
NormatecnicaJhon Egoavil
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controlesMarcosPassarello2
 
Equipe escolar
Equipe escolarEquipe escolar
Equipe escolarsilvia marques de souza
 
PRESENT COMPUTACION
PRESENT COMPUTACIONPRESENT COMPUTACION
PRESENT COMPUTACIONNORMAGUASHPA
 

Más contenido relacionado

La actualidad más candente

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

La actualidad más candente (20)

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Superior
SuperiorSuperior
Superior
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 

Destacado

PRESENT COMPUTACION
PRESENT COMPUTACIONPRESENT COMPUTACION
PRESENT COMPUTACIONNORMAGUASHPA
 
Harry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbellaHarry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbellabiancazurita
 
Proyecto de un Acubus Cartagena
Proyecto de un Acubus CartagenaProyecto de un Acubus Cartagena
Proyecto de un Acubus Cartagenaclara039
 
Que es un modulo educativo y cual es
Que es un modulo educativo y cual esQue es un modulo educativo y cual es
Que es un modulo educativo y cual esjaneabelle9887
 
Jable peñafielpractica1
Jable peñafielpractica1Jable peñafielpractica1
Jable peñafielpractica1Alina Jable
 
Atletismo en el power
Atletismo en el powerAtletismo en el power
Atletismo en el powerjorgelinav
 
Lago Azul: La vegetación de ribera
Lago Azul: La vegetación de riberaLago Azul: La vegetación de ribera
Lago Azul: La vegetación de riberaDay Thomas
 
Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6comite2011
 
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)Jorge Rodríguez-Rey
 
El Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterráneaEl Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterráneaDay Thomas
 
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201Sara Silva
 

Destacado (20)

Equipe escolar
Equipe escolarEquipe escolar
Equipe escolar
 
PRESENT COMPUTACION
PRESENT COMPUTACIONPRESENT COMPUTACION
PRESENT COMPUTACION
 
Gtho
GthoGtho
Gtho
 
Harry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbellaHarry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbella
 
Tics 2
Tics 2Tics 2
Tics 2
 
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
 
Proyecto de un Acubus Cartagena
Proyecto de un Acubus CartagenaProyecto de un Acubus Cartagena
Proyecto de un Acubus Cartagena
 
Technology in history
Technology in historyTechnology in history
Technology in history
 
Que es un modulo educativo y cual es
Que es un modulo educativo y cual esQue es un modulo educativo y cual es
Que es un modulo educativo y cual es
 
Reflexión
ReflexiónReflexión
Reflexión
 
Jable peñafielpractica1
Jable peñafielpractica1Jable peñafielpractica1
Jable peñafielpractica1
 
Atletismo en el power
Atletismo en el powerAtletismo en el power
Atletismo en el power
 
Lago Azul: La vegetación de ribera
Lago Azul: La vegetación de riberaLago Azul: La vegetación de ribera
Lago Azul: La vegetación de ribera
 
Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6
 
Crowdfunding für Musiker (Linzfest 2013)
Crowdfunding für Musiker (Linzfest 2013) Crowdfunding für Musiker (Linzfest 2013)
Crowdfunding für Musiker (Linzfest 2013)
 
Natación.pptx
Natación.pptx Natación.pptx
Natación.pptx
 
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
 
El Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterráneaEl Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterránea
 
Redes sociales diapositivas
Redes sociales diapositivasRedes sociales diapositivas
Redes sociales diapositivas
 
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
 

Similar a Implantacion del iso_27001_2005

Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005ascêndia reingeniería + consultoría
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg trackingsgtracking
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Politica de seguridad (2)
Politica de seguridad (2)Politica de seguridad (2)
Politica de seguridad (2)kgpaucard
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 

Similar a Implantacion del iso_27001_2005 (20)

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Politica de seguridad (2)
Politica de seguridad (2)Politica de seguridad (2)
Politica de seguridad (2)
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdf
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Políticas de Seguridad
Políticas de SeguridadPolíticas de Seguridad
Políticas de Seguridad
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 

Último

ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 

Último (20)

ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 

Implantacion del iso_27001_2005

  • 1. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
  • 2. ¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y tasados? 2
  • 3. Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 INFORMACIÓN billones de dólares por ataques computarizados en 1998 EN LA EMPRESA –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
  • 4. El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela INFORMACIÓN afirman que en el año 1997 las pérdidas por concepto de EN LA EMPRESA clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
  • 5. La información en la empresa es uno de los más importantes activos que se poseen. INFORMACIÓN EN LA Las organizaciones tienen que desarrollar mecanismos que EMPRESA les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
  • 6. El nuevo estándar internacional, el ISO 27001:2005, está ISO 27001:2005 orientado a establecer un sistema gerencial que permita SISTEMA DE GESTIÓN DE minimizar el riesgo y proteger la información en las SEGURIDAD DE empresas, de amenazas externas o internas. INFORMACIÓN •Grupo de trabajo de la industria se establece en 1993 HISTORIA DEL •Código de práctica - 1993 ESTÁNDAR •British standard - 1995 BS 7799 •BS 7799 parte 2 - 1998 E •BS 7799 parte 1 - 1998 ISO 17799 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS / ISO / IEC – 17799 - 2000 6
  • 7. ISO 27001:2005- SISTEMA DE ISO / IEC 17799 : 2005 GESTIÓN DE Código de práctica de seguridad en la gestión de la SEGURIDAD DE información – Basado en BS 7799 – 1 : 2000. INFORMACIÓN .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
  • 8. INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
  • 9. Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la ¿QUÉ ES bóveda los “backups”. SEGURIDAD DE INFORMACIÓN? Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
  • 10. NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10
  • 11. PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11
  • 12. HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS ISO 27001:2005 ORGANIZACIONALES Establecer el SGSI a) Definir el alcance del SGSI (Sección 4.2.1) b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia 12
  • 13. HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS BS 7799-2:2002 ORGANIZACIONALES Implementar y operar a) Formular un plan para tratamiento del riesgo el SGSI b) Implementar el plan de tratamiento del riesgo (Sección 4.2.2) c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos 13
  • 14. ACTIVIDADES CLÁUSULAS HOJA DE RUTA ORGANIZACIONALES PARA CUMPLIR Monitorear y revisar el a) Ejecutar procedimientos de monitoreo CON EL SGSI b) Efectuar revisiones regulares de la eficacia del ISO 27001:2005 (Sección 4.2.3) SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el a) Implementar las mejoras identificadas SGSI b) Tomar apropiadas acciones correctivas y (Sección 4.2.4) preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados 14
  • 15. Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2000 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 15
  • 16. Taller estratégico con la Definir alcance METODOLOGÍA PASO I gerencia para analizar del modelo DETALLADA Entendimiento requerimientos del PARA IMPLANTAR EL de los modelo ISO 27001:2005 SISTEMA DE requerimientos GESTIÓN DE del modelo SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO II Informe a la gerencia Efectuar “Gap Analysis” Determinación de la brecha Determinar la brecha y estimar presupuesto y cronograma 16
  • 17. Evaluación PASO III del riesgo Efectuar un análisis y Análisis y evaluación del riesgo METODOLOGÍA DETALLADA evaluación del Política PARA riesgo documentada -Amenazas, Política de IMPLANTAR EL SISTEMA DE -Vulnerabilidades seguridad -Impactos GESTIÓN DE SEGURIDAD DE INFORMACIÓN PASO IV Plan de ISO 27001:2005 continuidad Elaboración Plan de continuidad comercial Plan de gestión comercial del negocio documentado de continuidad comercial Plan de trata- Enfoque de la miento del riesgo gerencia para Gerencia del riesgo tratar el riesgo Tabla de Seleccionar controles y controles Utilización de objetivos de control a Anexo A de la norma implantar 17
  • 18. Enunciado de aplicabilidad Enunciado Elaborar un enunciado documentado METODOLOGÍA de aplicabilidad de aplicabilidad DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE PASO V Entrenamiento en SEGURIDAD DE documentación de INFORMACIÓN Desarrollo de procedimientos, instruc- ISO 27001:2005 competencias ciones de trabajo Procedimiento organizacionales para manejo de Taller estratégico para la acción manejo de la acción correctiva correctiva y preventiva Procedimiento de Taller estratégico para auditoria interna el manejo de la auditoria documentado interna 18
  • 19. Manual de METODOLOGÍA Seguridad de PASO VI Elaboración del manual Información DETALLADA PARA de seguridad de Documentado Redacción información IMPLANTAR EL del manual de SISTEMA DE GESTIÓN DE Seguridad de SEGURIDAD DE Información INFORMACIÓN Informe de la ISO 27001:2005 PASO VII Efectuar auditoria auditoria interna interna Ejecución de Auditorias Internas Entrega de PASO VIII Auditoria de empresa informe certificadora Obtención de la certificación internacional 19
  • 20. ENFOQUE DE DEFINIR UNA POLÍTICA DEFINIR EL ALCANCE LAS SEIS DE SEGURIDAD DE DEL MODELO FASES INFORMACIÓN ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 EFECTUAR UN ANÁLISIS DEFINIR OPCIONES DE Y EVALUACIÓN DEL TRATAMIENTO DEL RIESGO RIESGO SELECCIONAR PREPARAR UN CONTROLES A ENUNCIADO DE IMPLANTAR APLICABILIDAD 20
  • 21. CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 21
  • 22. DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”. 22
  • 23. Una vez determinado el alcance del modelo en la IDENTIFICA- empresa, se debe proceder a identificar los CIÓN DE distintos activos de información, los cuales se ACTIVOS DE convierten en el eje principal del modelo. INFORMACIÓN Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor. 23
  • 24. ANÁLISIS Y A los activos de información se les debe efectuar EVALUACIÓN un análisis y evaluación del riesgo, e identificar los DEL RIESGO controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 24
  • 25. Los activos de información son clasificados por el ANÁLISIS Y EVALUACIÓN ISO 17799:2005 en las siguientes categorías: DEL RIESGO -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.) 25
  • 26. Al establecer el alcance, en la organización ALCANCE DEL SGSI financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información. 26
  • 27. AHORROS CAPTACIONES SBS Ministerio BCR Público PER IPLO P Ahorros ST s Tesor Agencia e ría Se red. r Clie vicio . de C Adm n te Au d. I nt . Apertura Aceptación Con Nuevos Operaciones Pagos Emisiones Clientes Clientes tab . -Atenc. Y Cons. -Definición Pro. -Depósitos -Recepción Doc. -Consultas -Inscripción -Requisitos -Retiros -Autrización -Reclamos -Actualización -Condiciones -Transferencias -Entrega Efectivo -Emisión de Ext. -Recepción S/ $ -OT -Registro -Emisión de Cartas -Genera Cta. -Bloq. Y Desbloq. -FSD (ctas. > 10 años) -Lavado de Activos -OP (Entrega y recep) -Anexos SBS -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones Cli Sistem AAS en as te . s . Leg Logística ridad Ases Créditos Segu s nte REN IE Clie C Corresponsales AFP’s
  • 28. TASACIÓN DE ACTIVOS DE INFORMACIÓN ACTIVOS DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL - Base de datos ahorros 4 4 4 4 - Base de datos clientes 5 5 4 5 - Equipo de cómputo 2 2 4 2 - Línea dedicada 2 2 5 3 - Internet 2 1 3 2 - Servidor de archivos 5 5 4 5 - Servidor 5 4 4 4 - Copias de backup 5 5 3 4 - Switchers 1 1 5 2 - Router’s 1 1 5 2 - Modem 1 1 5 2 - Líneas telefónicas 4 2 3 3 - Central telefónica 4 2 3 3 - Disco duro 5 5 3 4 - Cámaras de video 1 1 5 2 - Teléfonos 4 1 3 3
  • 29. DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓN PROPIETARIOS 1. BASE DE DATOS CLIENTES SERVICIO AL CLIENTE 2. SERVIDOR SISTEMAS 3. JEFE DE AHORROS AHORROS 4. BASE DE DATOS AHORROS SISTEMAS 5. CLAVES AHORROS 6. SERVIDOR DE ARCHIVOS SISTEMAS 7. COPIAS DE BACKUP SISTEMAS 8. DISCO DURO Y GRAB. (Videos) SISTEMAS 9. REGISTROS DE CLIENTES AHORROS 10. FORMATOS AHORROS 11. VOUCHER’S ADM. DE CRÉDITOS 12. FORMATO LAVADO ACTIVOS AHORROS
  • 30. ANÁLISIS Y EVALUACIÓN DEL RIESGO POSIBILI- POSIBI- VALOR CRITERIO ACTIVOS POSIBI- DAD QUE LIDAD DE PARA OBJETIVOS NIVELES DE DE LIDAD VULNERA- AMENAZA DE OCU- CRITI- CONTRO- AMENAZAS ACTIVOS TOTAL ACEPTAR DE ACEPTACION INFORMA- OCU- BILIDADES PENETRE RRENCIA CIDAD LES DE EL CONTROL DEL RIESGO CIÓN RRENCIA VULNERA- DE AME- RIESGOS RIESGO BILIDAD NAZA 1. BASE DE - Hckers 2 - Falta de 2 - Verificación A.5.1 Promocionar dirección A.5.1.1 semanal de ac- gerencial y apoyo a la S.I. A.5.1.2 DATOS - Deterioro 4 antivirus tualizaciones A.6.1 Seguridad del equipo: A.7.2.4 AHORROS fisico - Libre acce- 5 - El sistema evitar la pérdida, daño o so permite control compromiso de los activos automático y la interrupción de las ac- de incidentes tividades comerciales. A.6.2 Proteger la integridad A.6.2.1 4 4 16 C del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad A.7.1.1 y disponibilidad de los ser- A.7.1.2 vicios de procesamiento de información y comunica- ciones. 2. SERVI- - Virus 2 - Software 3 - Parches de A.9.2. Proteger la integridad A.9.2.1 software del software y la informa- DOR - Rayos desactuali- - Verificación ción del daño de software zado 4 semanal de malicioso. 4 - Falta para actualizacio- nes. rayos 4 4 16 C 3. BASE DE - Errores en 4 - Mala progra 2 - Verificación A.9.2 Minimizar el riesgo de A.9.2.1 diaria de ac- fallas en los sistemas. A.9.2.2 DATOS digitación mación tualizaciones A.10.1 Asegurar que se in- A.10.1.1 CLIENTES - Mala valida- 5 - El sistema corpore seguridad en los ción y prue- permite regis- sistemas de información. tro e impresión A.10.2 Evitar la pérdida, mo- A.10.2.1 bas de incidentes dificación o mal uso de la A.10.2.2 - Parches de data del usuario en los sis- A.10.2.3 5 4 20 C software temas de información. A.10.3 Asegurar que los pro A.10.3.1 yectos T.I. y las actividades A.10.3.3 de apoyo se reducen de manera segura.
  • 31. PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 31
  • 32. Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2005 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 32
  • 33. -Los ataques de virus continúan como la principal RESULTADOS DEL COMPUTER fuente de grandes pérdidas financieras. CRIME AND -El uso no autorizado de sistemas de computación SECURITY ha incrementado. SURVEY/ FBI 2005 -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante. 33
  • 34. Los 15 requerimientos son una lista de chequeo VISA ACCOUNT para lograr conformidad con el estándar. INFORMATION SECURITY 1. Establecer política para la contratación de STANDARDS personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus. 34
  • 35. 9. Mantener al día los parches a software VISA ACCOUNT INFORMATION 10. No utilizar “passwords” para sistemas y otros SECURITY parámetros de seguridad proporcionado por STANDARDS terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos 35
  • 36. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe