Este documento describe las ventajas de implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI ayuda a proteger la información mediante controles sobre la confidencialidad, integridad y disponibilidad. También resume la estructura y los objetivos de las normas ISO 27001 y 27002, las cuales proveen una base para establecer y certificar un SGSI efectivo.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...PECB
Using IT Governance as a tool for measuring IT performance. COBIT 5 has provided generic metrics at strategic levels [Enterprise metrics], Tactical level [IT Goals metrics] and Operation Level [Process metrics]. We will highlight the benefits and objectives of the measurements, and then provide an approach along with suggestions on the time/frequency of measurement.
The webinar covers:
• The relation between ISO 27001 and ISO 20000
• How much does project management fit in with both of them
• Integration of information security and IT Services
Presenter:
Adnan Hafiz is an IT GRC, Security Consultant and Lead Auditor and a PECB Certified Trainer with over 10 years of significant, progressive experience in Information Technology field, focusing on Information Security, IT Governance, ISO Standards Implementation & Compliance, IT Service Management, Risk Management, Information Security & IT Service Management Audits, Software Project Management and Process Improvement.
Link of the recorded session published on YouTube: https://youtu.be/0se77tjLL4c
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...PECB
Using IT Governance as a tool for measuring IT performance. COBIT 5 has provided generic metrics at strategic levels [Enterprise metrics], Tactical level [IT Goals metrics] and Operation Level [Process metrics]. We will highlight the benefits and objectives of the measurements, and then provide an approach along with suggestions on the time/frequency of measurement.
The webinar covers:
• The relation between ISO 27001 and ISO 20000
• How much does project management fit in with both of them
• Integration of information security and IT Services
Presenter:
Adnan Hafiz is an IT GRC, Security Consultant and Lead Auditor and a PECB Certified Trainer with over 10 years of significant, progressive experience in Information Technology field, focusing on Information Security, IT Governance, ISO Standards Implementation & Compliance, IT Service Management, Risk Management, Information Security & IT Service Management Audits, Software Project Management and Process Improvement.
Link of the recorded session published on YouTube: https://youtu.be/0se77tjLL4c
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la 27001 vol ser un referent idèntic en el camp de la seguretat.
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
La importancia de los procesos de seguridad de la información: ventajas y efi...Foro Global Crossing
Presentación de Maximiliano Canosa (Partner & Lead Auditor ISO 27001 para Latinoaérica, BSI (British Standard Institution) en el I Foro Global Crossing de Negocios y Tecnología, en Santiago de Chile, julio 14 2009
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Aprende sobre la Norma ISO 27001 y comprenda los conceptos básicos de un Sistema de Gestión de la Seguridad de la Información (SGSI) y sobre el proceso de certificacion en ISO 27001
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMJuan Martín Martín
Examen de Selectividad de la EvAU de Geografía de junio de 2023 en Castilla La Mancha. UCLM . (Convocatoria ordinaria)
Más información en el Blog de Geografía de Juan Martín Martín
http://blogdegeografiadejuan.blogspot.com/
Este documento presenta un examen de geografía para el Acceso a la universidad (EVAU). Consta de cuatro secciones. La primera sección ofrece tres ejercicios prácticos sobre paisajes, mapas o hábitats. La segunda sección contiene preguntas teóricas sobre unidades de relieve, transporte o demografía. La tercera sección pide definir conceptos geográficos. La cuarta sección implica identificar elementos geográficos en un mapa. El examen evalúa conocimientos fundamentales de geografía.
Durante el período citado se sucedieron tres presidencias radicales a cargo de Hipólito Yrigoyen (1916-1922),
Marcelo T. de Alvear (1922-1928) y la segunda presidencia de Yrigoyen, a partir de 1928 la cual fue
interrumpida por el golpe de estado de 1930. Entre 1916 y 1922, el primer gobierno radical enfrentó el
desafío que significaba gobernar respetando las reglas del juego democrático e impulsando, al mismo
tiempo, las medidas que aseguraran la concreción de los intereses de los diferentes grupos sociales que
habían apoyado al radicalismo.
Documento sobre las diferentes fuentes que han servido para transmitir la cultura griega, y que supone la primera parte del tema 4 de "Descubriendo nuestras raíces clásicas", optativa de bachillerato en la Comunitat Valenciana.
Ponencia en I SEMINARIO SOBRE LA APLICABILIDAD DE LA INTELIGENCIA ARTIFICIAL EN LA EDUCACIÓN SUPERIOR UNIVERSITARIA. 3 de junio de 2024. Facultad de Estudios Sociales y Trabajo, Universidad de Málaga.
2. VENTAJAS COMPETITIVAS DE UN
SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
SEGÚN LA NORMA ISO / IEC
27001:2005
www.ascendiarc.com
www.ascendiarc.com
3. ÍNDICE
>INTRODUCCIÓN
> SEGURIDAD DE LA INFORMACIÓN
> OBJETIVOS DEL SGSI
> ESTRUCTURA DE LA NORMA ISO 27001
> ESTRUCTURA DE LA NORMA ISO 27002
> FASES DE LA IMPLANTACIÓN DE UN SGSI
www.ascendiarc.com
4. INTRODUCCIÓN
¿Qué es un Sistema de Gestión?
SIMIL: ORQUESTA DE MÚSICA
gestionar = dirigir
¿eficientemente? = ¿suena bien?
conseguir los objetivos = alcanzar el éxito
La orquesta suena bien si todos:
Saben tocar bien
Pueden tocar bien
Quieren tocar bien
Se alcanza el éxito
www.ascendiarc.com
5. INTRODUCCIÓN
La información es un activo vital para la continuidad y desarrollo de cualquier
organización.
Sin embargo no siempre se establecen las medidas oportunas para proteger
información esencial.
¿Qué es un Sistema de Gestión de la Seguridad de la Información?
• Conjunto de procesos, recursos, organización, formación e información que
permiten alcanzar los objetivos planteados por la organización, minimizando
el esfuerzo económico, desgaste personal, tiempos, etc.
• Un sistema que permita salvaguardar la información y los sistemas de
información y comunicación de la empresa.
Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la
continuidad de las actividades de la entidad.
www.ascendiarc.com
6. ALCANCE DEL SGSI
¿Por qué escoger la norma ISO 27001:2005?
De cara al exterior, mejora la imagen de rigor
Único modelo internacionalmente reconocido para implantación de un SGSI
Dotar al sistema de niveles aceptables de:
Confidencialidad
Integridad
Disponibilidad
www.ascendiarc.com
7. BENEFICIOS DEL SGSI
Necesidad del implantación de un Sistema de Gestión
Por la gran cantidad de datos generados
Por la propia estructura organizativa del sistema (varios participantes)
Por las ventajas derivadas de la ordenación y documentación de acciones y
procesos
Averías o cualquier imprevisto
Cambios de personal
Resultados tras la implantación
Reducción de los riesgos a un nivel aceptable
Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la
información
Cumplir con las leyes y reglamentaciones previstas
www.ascendiarc.com
8. SEGURIDAD DE LA INFORMACIÓN
No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD INFORMÁTICA
Establece medidas encaminadas a proteger hardware, software y comunicaciones de los
equipos informáticos. NO GESTIONA.
Controla los aspectos:
> físicos (instalaciones)
> telecomunicaciones (protocolos seguros, encriptación, cortafuegos)
> de acceso al sistema
> copias de respaldo y recuperación
> etc.
www.ascendiarc.com
9. SEGURIDAD DE LA INFORMACIÓN
No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN
Establece medidas encaminadas a proteger la información, independientemente del soporte
en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones
de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera
causar y maximizar el rendimiento del capital invertido.
Se caracteriza por preservar las tres propiedades de la información:
> CONFIDENCIALIDAD
> INTEGRIDAD
> DISPONIBILIDAD
www.ascendiarc.com
10. DOMINIOS DE LA INFORMACIÓN
CONFIDENCIALIDAD:
Asegurar que la información es accesible sólo para aquellos autorizados a tener
acceso.
DISPONIBILIDAD:
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.
INTEGRIDAD:
Garantizar la exactitud y completitud de la información y los métodos de su
proceso.
www.ascendiarc.com
11. OBJETO DE LAS ISO 27001 Y 27002
Tienen por objeto “proporcionar una base común para la elaboración de las normas de
seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer
informes de confianza en las transacciones y las relaciones entre empresas”.
El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura.
La seguridad completa no existe a menos de una inactividad total.
www.ascendiarc.com
12. ISO 27001: ESTRUCTURA
1. OBJETO Y CAMPO DE APLICACIÓN
ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación,
implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI.
El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y
proporcionados, que protejan los activos de información.
2. REFERENCIAS NORMATIVAS
Es indispensable la utilización de la norma ISO / IEC 27002:2007
3. TÉRMINOS Y DEFINICIONES
www.ascendiarc.com
13. ISO 27001: ESTRUCTURA
4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario.
El proceso utilizado se basa en el ciclo PDCA.
REQUISITOS GENERALES.- obligación de creación de un sistema de gestión
documentado con los procedimientos clave de la organización y los riesgos a que se
enfrentan.
ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la
organización para establecer, implementar, operar, monitorizar, revisar, mantener y
mejorar el SGSI.
REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es
derivada de decisiones de la Dirección; los resultados registrados deben ser
reproducibles.
www.ascendiarc.com
14. ISO 27001: ESTRUCTURA
5. RESPONSABILIDAD DE LA DIRECCIÓN
Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total.
6. AUDITORÍAS INTERNAS
La organización realizará auditorías a intervalos planificados.
7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año,
enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo.
8. MEJORA DEL SGSI
La organización mejora continuamente la efectividad.
ANEXO A
Objetivos de control y controles => ISO 27002:2007
www.ascendiarc.com
15. ISO 27002
Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a
la SEGURIDAD DE LA INFORMACIÓN.
Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad
ligada al personal que participa en la gestión de la información.
Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión
de la seguridad de la información.
No es un sistema que permite una certificación de la seguridad.
Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación.
www.ascendiarc.com
16. ISO 27002: ESTRUCTURA
Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES
Se estructura en:
> 11 dominios.
> 39 objetivos de control -> resultados que se espera alcanzar mediante la
implementación de los controles.
> 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo.
www.ascendiarc.com
17. ISO 27002: ESTRUCTURA
A.5 POLÍTICA DE SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la información
> La Dirección debe definir una política que refleje las líneas directrices de la
organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a
todo el personal implicado en la seguridad de la organización.
> La política se constituye en la base de todo el sistema de gestión de la seguridad de
la información.
> La Dirección debe apoyar visiblemente la seguridad de la información en la
compañía.
www.ascendiarc.com
18. ISO 27002: ESTRUCTURA
A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
Gestionar la seguridad de la información dentro de la organización.
Mantener la seguridad de los recursos de tratamiento de la información y de los activos
de información de la organización que son accedidos por terceros
> Debe diseñarse una estructura organizativa dentro de la compañía que defina las
responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo
relacionada con los sistemas de información de cualquier forma.
> Identificar los riesgos que están relacionados con terceros.
> Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de
seguridad no son exclusivamente técnicos.
www.ascendiarc.com
19. ISO 27002: ESTRUCTURA
A.7 GESTIÓN DE ACTIVOS
Mantener una protección adecuada sobre los activos de la organización.
Asegurar un nivel de protección adecuado a los activos de información.
> Debe definirse una clasificación de los activos relacionados con los sistemas de
información, manteniendo un inventario actualizado que registre estos datos, y
proporcionando a cada activo el nivel de protección adecuado a su criticidad en la
organización.
www.ascendiarc.com
20. ISO 27002: ESTRUCTURA
A.8 SEGURIDAD LIGADA AL PERSONAL
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y
los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
seguridad de la información, y que están preparados para sostener la política de
seguridad de la organización en el curso normal de su trabajo.
> Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la
terminación o cambio de empleo.
> Las implicaciones del factor humano en la seguridad de la información son muy elevadas.
> Todo el personal, tanto interno como externo a la organización, debe conocer tanto las
líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo
en el mantenimiento de la seguridad global.
> Diferentes relaciones con los sistemas de información: operador, guardia de seguridad,
personal de servicios, etc.
> Procesos de notificación de incidencias claros, ágiles y conocidos por todos.
www.ascendiarc.com
21. ISO 27002: ESTRUCTURA
A.9 SEGURIDAD FÍSICA Y DEL ENTORNO
Evitar accesos no autorizados, daños e interferencias contra los locales y la información
de la organización.
Evitar pérdidas, daños o comprometer los activos así como la interrupción de las
actividades de la organización.
Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento
de información.
> Las áreas de trabajo de la organización y sus activos deben ser clasificadas y
protegidas en función de su criticidad, siempre de una forma adecuada y frente a
cualquier riesgo factible de índole física (robo, inundación, incendio, etc.).
www.ascendiarc.com
22. ISO 27002: ESTRUCTURA
A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES
Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la
información.
Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del
servicio, en consonancia con los acuerdos de provisión de servicios por terceros.
Proteger la integridad del software y de la información.
Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la
información.
Asegurar la protección de la información en las redes y protección de la infraestructura de
soporte.
Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la
interrupción de las actividades de la organización.
Mantener la seguridad de la información y del software intercambiados dentro de una
organización y con un tercero.
Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos.
Detectar las actividades de procesamiento de la información no autorizadas.
www.ascendiarc.com
23. ISO 27002: ESTRUCTURA
A.11 CONTROL DE ACCESO
Controlar los accesos a la información.
Evitar accesos no autorizados a los sistemas de información.
Evitar el acceso de usuarios no autorizados.
Evitar acceso no autorizados a información contenida en las aplicaciones.
Garantizar la seguridad de la información cuando se usan dispositivos de informática
móvil y teletrabajo.
> Se deben establecer los controles de acceso adecuados para proteger los sistemas de
información críticos para el negocio, a diferentes niveles: sistema operativo,
aplicaciones, redes, etc.
www.ascendiarc.com
24. ISO 27002: ESTRUCTURA
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Garantizar que la seguridad está integrada en los sistemas de información.
Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la
información en las aplicaciones.
Proteger la confidencialidad, la autenticidad o la integridad de la información por
medios criptográficos.
Garantizar la seguridad en los archivos del sistema.
Mantener la seguridad del software y de la información de las aplicaciones.
Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas
publicadas.
> Debe contemplarse la seguridad de la información en todas las etapas del ciclo de
vida del software en una organización: especificación de requisitos, desarrollo,
explotación, mantenimiento, etc.
www.ascendiarc.com
25. ISO 27002: ESTRUCTURA
A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Asegurar que los eventos y debilidades de la seguridad de la información asociadas con
los sistemas de información sean comunicados de tal manera que se tomen las acciones
correctivas oportunamente.
Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad.
> Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea
posible.
> Deben establecerse responsabilidades y procedimientos de gestión para asegurar una
respuesta rápida, efectiva y ordenada a los incidentes.
> Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de
prueba establecidas con la legislación pertinente en acciones de seguimiento contra
una persona u organización.
www.ascendiarc.com
26. ISO 27002: ESTRUCTURA
A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos
críticos de fallos o desastres mayores y asegurar su oportuna reanudación.
> Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en
toda la organización.
> Deben identificarse los eventos que pueden causar interrupciones a los procesos de
negocio, junto con la probabilidad e impacto de tales interrupciones.
> Sólo debe existir un marco de plan de continuidad de negocios para asegurar que
todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos
y prevén criticar prioridades.
> Los planes deberán probarse y actualizarse regularmente.
www.ascendiarc.com
27. ISO 27002: ESTRUCTURA
A.15 CONFORMIDAD
Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual
y de cualquier requerimiento de seguridad.
Garantizar la alineación de los sistemas con la política de seguridad de la organización y
con la normativa derivada de la misma.
Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría
de sistemas
> Se debe identificar convenientemente la legislación aplicable a los sistemas de
información corporativos, integrándola en el sistema de gestión de seguridad de la
información de la entidad y garantizando su cumplimiento.
>Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para
garantizar la detección de desviaciones con respecto a la política de seguridad de la
información.
www.ascendiarc.com
28. IMPLANTACIÓN DE UN SGSI
BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI
> Competitividad
> Confianza de terceros
> Cumplimiento legal
> Mejora de la Imagen
> Reducción de riesgos
> Demostración del uso de prácticas apropiadas :
· empresas y organizaciones
· cliente final
· auditores
· tribunales
www.ascendiarc.com
29. gracias por su atención
www.ascendiarc.com
www.ascendiarc.com