Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
Conoce cuáles son los factores del ciclo que se deben cumplir para contar con un Sistemas de Gestión de Seguridad de la Información (SGSI) eficiente en la empresa.
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
ISO-27001 trabaja bajo el método de mejora continua o Círculo de Deming, y es la única norma certificable de la serie. Ésta se acompaña de ISO 27002, que es una guía que contiene una serie de recomendaciones y buenas prácticas para que las organizaciones puedan mejorar la seguridad de su información.
Gestión de la Seguridad de la Información con ISO27002EXIN
El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
Conoce cuáles son los factores del ciclo que se deben cumplir para contar con un Sistemas de Gestión de Seguridad de la Información (SGSI) eficiente en la empresa.
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
ISO-27001 trabaja bajo el método de mejora continua o Círculo de Deming, y es la única norma certificable de la serie. Ésta se acompaña de ISO 27002, que es una guía que contiene una serie de recomendaciones y buenas prácticas para que las organizaciones puedan mejorar la seguridad de su información.
Gestión de la Seguridad de la Información con ISO27002EXIN
El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
2. Porqué es importante
• “…preserva la confidencialidad, integridad y
disponibilidad de la información aplicando un
proceso de gestión de riesgos…”
• Fuente: ISO/IEC 27001:2013
3. Que significa
Especificación
Requerimientos exactos
Documentos explícitos
114 Controles
14 áreas de dominio
Creada por
International Organization fo
Standarization (ISO)
International Electrotechnical
Commission (IEC)
Relacionado con
Sistemas de gestión para
Seguridad de la información
& gestión de riesgos
4. Diferencias ISO/IEC 27001 e
ISO/IEC 27002
• ISO/IEC 27001
– Estándar internacional
– Certificable
• ISO/IEC 27002
– Código de práctica
– No certificable
5. Controles y dominios
# Dominio Controles
1 Políticas de
seguridad de la
información
2
2 Organización de
la seguridad de la
información
7
3 Seguridad del
recurso humano
6
4 Manejo de
activos
10
5 Control de
acceso
14
6 Criptografía 2
7 Seguridad física y
ambiental
15
# Dominio Controles
8 Seguridad de las
operaciones
14
9 Seguridad de las
comunicaciones
7
10 Adquisición,
desarrollo y mto.
de sistemas
13
11 Relaciones con el
proveedor
5
12 Gestión de
incidentes de SI
7
13 Aspectos de
continuidad de
negocio de SI
4
14 Cumplimiento 8
7. Aspecto 1: Confidencialidad
• Uno no quiere que otra persona se gaste el dinero
de uno, o al menos no alguien que no tenga el
permiso de hacerlo.
• Esto quiere decir que se limite el acceso al dinero,
o considerar el dinero como algo confidencial.
8. Aspecto 2: Disponibilidad
• Uno quiere gastar el dinero cuando uno quiere
hacerlo.
• Esto quiere decir que uno valora la disponibilidad
del dinero y no solo eso, se necesita que este
disponible en un formato que se pueda usar.
9. Aspecto 3: Integridad
• Cuando uno recoge el dinero, a uno le gusta saber
que su dinero se pueda asegurar que no es falso.
10. Resumiendo…
• la valoración de la información depende de estos
tres aspectos.
• Las organizaciones deben introducir una serie de
políticas y procedimientos que les proporcionarán
aseguramiento de estos tres aspectos.
• Sistema de gestión de seguridad de la información
(SGSI).
11. Y esto que importa?
• La dependencia tecnológica ha generado que la seguridad
de la información sea un tema de alta importancia.
• No es solo algo que se relaciona con el manejo,
almacenamiento o transporte de la misma.
• Las personas quieren que la información sea manejada y
protegida de forma apropiada.
• Las compañías son manejadas por los requisitos de sus
clientes y socios y requieren permanecer competitivas.
• La seguridad de la información es una ventaja competitiva.
• Un SGSI le permitirá entender el verdadero valor que tiene la
información para sus empresas.
13. Requisitos de Administración del
Sistema
• El diseño de un SGSI se fundamenta en el modelo
PHVA, mediante el cual se estructuran las tareas para
diseñar un sistema de gestión adecuado.
• El ciclo P-H-V-A puede ser resumido como:
– Planear lo que se requiere hacer para lograr el objetivo
– Hacer lo que se ha planeado
– Verificar que lo que se ha hecho cumple con lo que se ha
planeado lograr e identificar las brechas y defectos.
– Actuar con base en los hallazgos de la fase de planeación
para atender las brechas y/o mejorar la eficiencia y la
efectividad de lo que se ha puesto en marcha.
14. Requisitos del SGSI
• Hay un número de requisitos para que el sistema
de administración opere que son aplicables al SGSI
así como a cualquier otro sistema de
administración, e incluyen:
– Control de Documentación
– Control de registros
– Auditoría Interna
– Revisión Administrativa
15. Control de Documentación
– Acuerdo para definir la disponibilidad de los
documentos del SGSI, los cuales incluyen:
• Las políticas a nivel corporativo.
• Los procedimientos.
• Instrucciones de trabajo.
• Formas de captura de información.
– Asegurar que todos estos documentos que han sido
escritos y aprobados por el personal indicado y que solo
las últimas versiones aprobadas están disponibles.
16. Control de Registros
• Esto significa proteger la confidencialidad,
integridad y disponibilidad con el objeto de asegurar
que solo pueden ser recuperados por el personal
adecuado (autorizado) cuando se requieren y que
son legibles y no se han modificado.
17. Auditoría Interna
• La auditoría interna es comisionada por la
organización, y proporciona una oportunidad para
revisar el nivel de cumplimiento del SGSI mediante
el examen de lo que ocurre.
• El proceso de auditoría interna debería también
informar la mejora continua del SGSI.
18. Revisión Administrativa
• La revisión administrativa típicamente es conducida
una vez cada seis o doce meses y esta diseñada para
revisar la precisión de los objetivos alcanzados.
• Típicamente se deben preparar un número de reportes
para las reuniones, los cuales cubren los indicadores
clave de cómo esta operando el SGSI.
• Esta revisión también debe incluir el examen de
cualquier medida de efectividad que haya sido
desarrollada.
19. Introducción a la iso27001
Activos de Información y la Evaluación de Riesgos de la Seguridad de la
Información
20. Activos de Información
• El valor de cada activo es estimado por sus tres
atributos de seguridad:
– Confidencialidad
– Integridad
– Disponibilidad
• El valor asignado a cada activo refleja el costo total a la
organización si cada atributo es comprometido para el
activo relacionado, desde el costo de reemplazo, hasta
las consecuencias en los procesos que este involucra,
a el impacto en la reputación de la organización.
21. Relación de Impacto
• 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 × 𝐼𝑚𝑝𝑎𝑐𝑡𝑜
• El valor de probabilidad viene relacionado con la
posibilidad de que una amenaza explote una
debilidad o exposición, o, en términos de seguridad
de la información, una vulnerabilidad.
23. Evaluación de Riesgos
• El objetivo principal de un SGSI es el de manejar
todos los riesgos para tener un nivel consistente de
control, y determinar donde se requiere que nivel
de riesgo sea aceptable.
• Los riesgos evaluados que caen en la categoría de
nivel de riesgo aceptable se consideran y se toman
decisiones de que hacer con cada uno.
24. Metodología de Respuesta de
Riesgos
1. Aplicación de controles que reduzcan el riesgo.
1. Aceptar el riesgo; esto es determinado normalmente
por el criterio de aceptación del riesgo, pero puede ser
aplicado ocasionalmente aún si el nivel de riesgo esta
por debajo de lo aceptable.
2. Evitar el riesgo identificando métodos de eliminación
del riesgo.
3. Transferir el riesgo del negocio a un asegurador o
proveedor.
25. Proceso de evaluación de riesgos
• La toma de decisiones y aplicación de controles a los
riesgos permite reevaluar el riesgo hasta que caiga en
un criterio aceptable.
• El SGSI debe asegurar que los controles
seleccionados en el proceso de evaluación se aplican
de manera efectiva a los activos identificados.
• Esto le permite a una organización puede asegurarse
de que se esta maximizando su efectividad de gastos
en materia de seguridad de la información, y que no
está dejando ninguna área de riesgo abierta a la
explotación.
27. Controles y dominios
# Dominio Controles
1 Políticas de
seguridad de la
información
2
2 Organización de
la seguridad de la
información
7
3 Seguridad del
recurso humano
6
4 Manejo de
activos
10
5 Control de
acceso
14
6 Criptografía 2
7 Seguridad física y
ambiental
15
# Dominio Controles
8 Seguridad de las
operaciones
14
9 Seguridad de las
comunicaciones
7
10 Adquisición,
desarrollo y mto.
de sistemas
13
11 Relaciones con el
proveedor
5
12 Gestión de
incidentes de SI
7
13 Aspectos de
continuidad de
negocio de SI
4
14 Cumplimiento 8
Procesos que
implementan la
seguridad
Controles técnicos
Actividades que
implementan la
seguridad de la
información
28. Estructura de la Norma
• En el estándar hay un total de 114 controles
divididos en 11 categorías, pero para el propósito
de familiarizarse con la norma, la vamos a dividir en
6 grupos.
– Organización, estructura y recursos humanos
– Activos, clasificación y control de acceso
– Acceso físico
– Desastres y Continuidad
– Cumplimiento y Auditoría Interna
29. Organización, Estructura y
Recursos Humanos
• Definición de las políticas de seguridad de la
información, las cuales son una declaración de los
compromisos de la organización y los objetivos
relacionados con seguridad de la información.
• Los recursos humanos requeridos para realizar
todas las tareas relacionadas y que afectan la
seguridad de la organización necesitan ser
identificadas y manejadas apropiadamente.
30. Activos, Clasificación y Control de
Acceso
• Los activos deben estar clasificados mediante un
sistema de marcado, esta debe indicar el nivel de
protección requerido y aquel que tiene los permisos
de acceso a él.
• El control de acceso busca garantizar que solo
aquellos con el acceso aprobado a los activos
pueden en realidad acceder a estos, y que esto
esta sujeto tanto a barreras físicas como lógicas.
31. Acceso Físico
• El acceso físico es, por supuesto, un problema para
la seguridad de la información.
• Cualquiera que tenga acceso a equipos o medios
en los cuales la información está almacenada
puede potencialmente salir de la organización con
el activo y la información almacenada en este.
32. Redes y TI
• La mas larga categoría de controles se relaciona
con las operaciones de TI y la administración de la
red.
• Estos cubren asuntos que incluyen la planeación y
pruebas de nuevos desarrollos antes de ser
implementados, la planeación de la capacidad para
todos los aspectos de la red y los sistemas, la
segregación, el diseño de la red y administración de
las vulnerabilidades técnicas.
33. Cuando las cosas salen mal
(BC/DR)
• Hay varias categorías que tratan el manejo de problemas,
eventos y/o incidentes.
• La severidad de las brechas de seguridad de la información
pueden variar masivamente, si el problema probablemente
signifique un desafío a la ejecución normal de las actividades
u operaciones es deseable que se invoque alguna forma de
continuidad de negocios.
• Por supuesto, no todos los incidentes de seguridad requieren
de una respuesta dramática, pero el grado de reacción y el
método para determinar su escalamiento debe estar definido.
34. Auditoría Interna y Cumplimiento
• Esta categoría es relativamente auto-explicativa: se
refieren al cumplimiento legal y técnico.
• La organización necesita estar al tanto de ellas, y
cumplir con sus obligaciones legales.
36. Proceso de Certificación
• Las compañías que desean usar este estándar
para demostrar la robustez en sus acuerdos de
manejo de seguridad de la información necesitan
estar sujetos a una auditoría externa.
• Para que sea reconocido el aseguramiento
proporcionado por el costo de la auditoría, la
auditoría debe ser conducida en cumplimiento con
el esquema reconocido; el cual es, el ‘esquema de
acreditación certificado’.
37. Auditoría de Cumplimiento
• Las auditorías son realizadas por cuerpos acreditados.
• El esquema habilita a las organizaciones a demostrar un grado de
aseguramiento en relación con sus prácticas de seguridad de la
información.
• Esta certificación significa que los clientes pueden confiar en la seguridad
de la información, en lugar de insistir en enviar sus propios .
• Para lograr la certificación, la organización debe tener un alcance definido
de la extensión de su SGSI y la declaración de aplicabilidad (SoA).
• Estos dos documentos, en conjunto, con el certificado de acreditación que
proporciona la evidencia del nivel de aseguramiento que la administración
del SGSI proporciona en relación con sus prácticas de seguridad de la
información.
38. Proceso de auditoria
En sitio
• La auditoría se
ejecuta en sus
instalaciones y
puede que sea en
varios sitios
dependiendo del
alcance.
Formal
• Reunión de
apertura
• Plan de auditoria
• Pruebas/Evidencias
• Reunión de cierre
Basado en muestras
• El auditor no puede
cubrir cada parte de
la operación en el
alcance en el
tiempo estimado.
Derecho a
rectificación
• Se puede no estar
conforme con los
hallazgos de la
auditoria, todos los
cuerpos de
certificación tienen
un proceso de
apelación.
39. Hallazgos de auditoria
• El SGSI está
fundamentalmente
mal
• Certificación en
riesgo
No conformidad
mayor
• El SGSI está bien
pero se tuvieron
algunos hallazgos
No conformidad
menor
• Sugerencias para
mejorar el SGSI
Oportunidad de
mejora
• Llamado a las
mejores prácticas
Esfuerzos
notables
• Cosas que el auditor
ha identificado que
pueden representar
problemas en el
futuro
Observaciones