Introduccion a la Norma ISO 27001 2005, descripcion general de la norma Sistemas de Gestion de Seguridad de la Informacion.

1. Maestría en Consultoría Empresarial Introducción ISO 27001 Introducción a los Sistemas de Gestión de Seguridad de la Información. Ernesto Alexander Calderón calderonperaza@gmail.com

2. MAECE Contenido 1 3 2 4 Concepto SGSI ISO 27000 Controles OtrasOpciones

3. MAECE Aclaración La actual presentación esta orientada en un enfoque NO TECNICO. Dirigida a gerentes y tomadores de decisiones y no a personal especialista en tecnologías.

4. Sistema de gestión de la seguridad de la informacion MAECE

5. MAECE Elementosvitales Empresa U Organización Información Es el segundo elemento mas importante, se considera el principal activo de la organización Recurso Humano Es el elemento mas importante dentro de una organización

6. INFORMACION En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Fuente: es.Wikipedia.org MAECE

7. INFORMATICA La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando sistemas computacionales, generalmente implementados como dispositivos electrónicos. Procesamiento automático de la información. Fuente es.Wikipedia.org MAECE

8. INFORMACION EMPRESARIAL

9. MAECE Riesgos de la información PuertosAbiertos Password Cracking Peligro Virus Denegacion de Servicios KeyLoggin Inexistencia de Backup

10. SGSI Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un procesos sistemático, documentado y conocido por la organización. MAECE

11. ISO 27000 Conjunto de estándares desarrollados, o en fase de desarrollo. Proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, publica o privada, grande o pequeña. MAECE

12. ISO 27001 Estructura de reconocimiento internacional para la seguridad de la información Proceso de Gestión para evaluar, implementar y mantener un SGSI Comprensivo conjunto de controles de las mejores practicas de seguridad Énfasis en la prevención La seguridad de la información es un proceso de Gestión NO UN PROCESO TECNICO MAECE

13. Beneficios ISO 27001 MAECE

14. Estructura ISO 27001-2005 1. Alcance 2. Referencia Normativa 3. Términos y definiciones 4. Sistema de gestión de seguridad informática 5. Responsabilidad de la Gerencia 6. Auditorias internas SGSI 7. Revisión Gerencial SGSI 8. Mejoramiento del SGSI MAECE

15. Modelo utilizado Apartado 0.2 ISO 2001-2005 MAECE

16. ISO 27001-2005 Apartado 1.2 no es posible realizar una exclusión de ninguno de los requerimientos 4,5,6 y 8 cuando se declara conformidad con el estándar internacional. Apartado 4.2.1 C, debe definir una metodologia para la evaluacion de riesgos MAECE

17. Apartado 4.3.1 Documentacion del SGSI Enunciados documentados de la politica SGSI Alcance SGSI Procedimientos y controles de soporte SGSI Descripcion de la metodologia de evaluacion de riesgo. Reporte evaluacion de riesgo Plan de tratamiento de riesgo Procedimientos documentados necesarios Registros Requeridos MAECE

18. Algunos controles MAECE

19. MAECE Series ISO 27000 27001 27003 27004 27005 Requerimien- tos SGSI Guiapara Implemen- tacion Medicion Adminis- tracion de riesgo

20. Otras opciones utilizadas Enterprise Security Assessment

21. Maestria en ConsultoriaEmpresarial Gracias ! Ernesto Calderon Peraza CalderonPeraza@gmail.com Twitter.com/calderonperaza