SlideShare una empresa de Scribd logo

expo Isoeic27000

Wilbert Fernando Alvarez Tirado
Wilbert Fernando Alvarez Tirado

El documento presenta una introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI). Explica que los SGSI permiten analizar, establecer procedimientos y medir controles para minimizar riesgos a la seguridad de la información como usuarios internos, externos y desastres naturales. Luego describe las normas ISO/IEC 27000 que proveen las mejores prácticas para implementar y mantener SGSI y cubren aspectos como políticas, procedimientos, controles de acceso y monitoreo. Finalmente, resume algunas de las polí

1 de 32
Descargar para leer sin conexión
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei
Indice  Conceptos básicos SGSI  ISO/IEC 27000  Implementaciones de ISO/IEC 27000  La seguridad del lado del usuario.  El SGSI de la UCR
Todos los días tenemos riegos que atentan contra la seguridad de la información: Usuario internos Usuarios externos Desastres naturales
¿Qué podemos hacer para proteger datos e información en un entorno como este?  La respuesta es simple:  Se puede implementar un sistema de gestión de seguridad de la información.  ¿Para qué sirve?  Conocer  Gestionar  Minimizar  Los riesgos que atentan contra la seguridad de la información
¿Seguridad informática es lo mismo que seguridad de la información? *Los activos de información provienen de distintas fuentes y se almacenan en diversos soportes, como BD e inclusiv impresos.
¿Qué nos permite un SGSI?  Analizar y ordenar la estructura de los sistema de información.  Establecer los procedimientos de trabajo para mantener su seguridad.  Disponer de controles para medir la eficacia de lo establecido en el punto anterior. La idea es alcanzar un nivel de riesgo menor que el soportado por la institución, para preservar la confidencialidad, integridad y disponibilidad de la información.
¿Qué aspectos de seguridad abarca un SGSI?
ISO / IEC 27000 Ana Cecilia Vargas Alonso Castro Mattei
Normas ISO/IEC 27000  Contiene las mejores prácticas recomendadas en seguridad de la información para desarrollar, implementar y mantener especificaciones para los SGSI:  ISO/IEC 27000 - es un vocabulario estandard para el SGSI. (en desarrollo actualmente).  ISO/IEC 27001 - es la certificación para las organizaciones. Especifica los requisitos para la implantación del SGSI. La más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
Normas ISO/IEC 27000  ISO/IEC 27002 - es código de buenas prácticas para la gestión de seguridad de la información.  ISO/IEC 27003 - son directrices para la implementación de un SGSI.  ISO/IEC 27004 - son métricas para la gestión de seguridad de la información.  ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información.
Normas ISO/IEC 27000  ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información.  ISO/IEC 27007 - Es una guía para auditar al SGSI.  ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.  ISO/IEC 27035:2011 – Técnicas de Seguridad – Gestión de Incidentes de Seguridad: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.
Relación con otras normas
Alcance de la Norma ISO/IEC 27000  ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc.  No debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en día una importancia mas que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la la actividad de la empresa.
Implementación del ISO/IEC 27000
Cortafuegos (firewall)
Certificados de seguridad
Conexiones cifradas (SSL)
Red Privada Virtual (VPN)
Trabajo colaborativo Tanto la institución como el ISP, debe asegurar que la información que viaja por la red y por los equipos de comunicación que administra lleguen a su destino seguros.
La seguridad del lado de los usuarios de los sistemas de información
Phishing
Spam  (1): Sitio web de Spammers  (2): Spammer  (3): Spamware  (4): Ordenadores infectados  (5): Virus o troyanos  (6): Servidores de correo  (7): Usuarios  (8): Tráfico Web
Recomendaciones para la seguridad de contraseñas  Cambie periódicamente la contraseña.  Procure que la contraseña tenga como mínimo 8 caracteres combinando números, letras y símbolos.  Evite utilizar nombres propios, o temas asociables a su persona.  Elija un usuario y contraseña distintos.  Nunca anote las claves en un papel.  Nunca revele sus claves, y menos por email o teléfono.  Evite que vean las claves que introduce.
Implementac ión de un SGSI para la UCR
Administración General de la Seguridad y el Entorno de TI Gobierno de Seguridad de Información Gestión de Riesgos de Información Programa continuo de Seguridad Administración del Programa de Seguridad Administración de Incidentes de Seguridad
Algunas políticas que estamos implementando  4.1 Clasificación, Control y aseguramiento de bienes de cómputo y comunicaciones:  030101 Asignación de responsabilidades sobre los bienes  030102 Inventario de Recursos Informáticos  4.2 Resguardo y Protección de Información  040103 De los respaldos y recuperación de la información  4.3 Reporte y Manejo de Incidentes de Seguridad  050101 Reporte de Incidentes relativos a la Seguridad de la Información  050102 Reporte de debilidades en materia de Seguridad
Algunas políticas que estamos implementando  4.4 Gestión y Administración de la Seguridad de las Operaciones, Responsabilidades y Procedimientos Operacionales  070101 Documentación de los procedimientos operacionales  4.5 Planificación y Aceptación de Sistemas  070201 Planificación de la capacidad  4.6 Protección contra Instrucciones maliciosas y códigos móviles  070301 Controles contra instrucciones maliciosas
Algunas políticas que estamos implementando  4.7 De la Administración y Seguridad de los medios de Almacenamiento  070603 De la Administración de medios informáticos removibles  070605 De los procedimientos de manejo de la información  070606 Seguridad de la documentación de los sistemas  4.8 Gestión y Administración de la Seguridad de las Comunicaciones, Intercambio de Información y y software  080106 Política de Uso Aceptable de Internet  080107 Política de Uso Aceptable de Intranet  080108 Política de Uso Aceptable del Correo Electrónico
Algunas políticas que estamos implementando  4.9 Control de Accesos, Administración de accesos de usuarios  090201 Asignación de derechos de acceso  090202 Registro de usuarios  090203 Administración de privilegios  090204 Administración de contraseñas de usuario  090205 Revisión de derechos de acceso de usuario  4.10 Control de Acceso a la Red  090407 Control de conexión a la red  090409 Seguridad en los servicios de red
Algunas políticas que estamos implementando  4.11 Control de acceso y demás controles aplicables a las bases de datos  090701-500 Implementación de los controles de acceso y demás controles aplicables a las bases de datos de la UCR  4.12 Monitoreo del uso y acceso a los sistemas  090902 Monitoreo del uso de los sistemas
Muchas gracias!! Ana Cecilia Vargas Alonso Castro Mattei

Recomendados

Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
17oswaldo
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
edwin damian pavon
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
Superior
SuperiorSuperior
Superior
juan cutiupala
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 

Recomendados

Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
17oswaldo
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
edwin damian pavon
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
Superior
SuperiorSuperior
Superior
juan cutiupala
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
eliztkm
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
Universidad de las Americas Udla Ka_Ivan
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso
IsoIso
Iso
FranciscoVilchezVill
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
ESET Latinoamérica
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Normaiso27000
Normaiso27000Normaiso27000
Normaiso27000
carlos eduardo arevalo
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
mayckoll17
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
nestor
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
plackard
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad
Pedro Cobarrubias
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 
Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001
ITsencial
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
Alexander Velasque Rimac
 

Más contenido relacionado

La actualidad más candente

Iso 27000
Iso 27000Iso 27000
Iso 27000
eliztkm
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
Universidad de las Americas Udla Ka_Ivan
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso
IsoIso
Iso
FranciscoVilchezVill
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
ESET Latinoamérica
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Normaiso27000
Normaiso27000Normaiso27000
Normaiso27000
carlos eduardo arevalo
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
mayckoll17
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
nestor
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
plackard
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad
Pedro Cobarrubias
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 

La actualidad más candente (20)

Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Iso
IsoIso
Iso
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Normaiso27000
Normaiso27000Normaiso27000
Normaiso27000
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 

Destacado

Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001
ITsencial
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
Alexander Velasque Rimac
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
Alejandra Borda Roberto
 
Elementos de la computadora Ivan Aracena
Elementos de la computadora Ivan AracenaElementos de la computadora Ivan Aracena
Elementos de la computadora Ivan Aracena
Ivan Rosales
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informática
neutro12
 
Integridad de informacion
Integridad de informacionIntegridad de informacion
Integridad de informacion
Ivan Rosales
 
Normas de seguridad informatica
Normas de seguridad informaticaNormas de seguridad informatica
Normas de seguridad informatica
enahego
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
monica Rubiiano P
 
Introducción a Administración de riegos
Introducción a Administración de riegosIntroducción a Administración de riegos
Introducción a Administración de riegos
Waleska Blanco Hernández
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticos
Lorena Molina
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
Estefanía Novoa
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
olfersaulroseroramirez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
VladimirMC
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Ernesto Herrera
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Ernesto Herrera
 
Conceptos Basicos De PrevencióN De Riesgos
Conceptos Basicos De PrevencióN De RiesgosConceptos Basicos De PrevencióN De Riesgos
Conceptos Basicos De PrevencióN De Riesgos
jdiazgall
 
Seguridad en los sistemas informaticos@ (2)
Seguridad en los sistemas informaticos@ (2)Seguridad en los sistemas informaticos@ (2)
Seguridad en los sistemas informaticos@ (2)
maricarmen carrasco frias
 
íNdice de temas
íNdice de temasíNdice de temas
íNdice de temas
Jesushjim
 
La segurida en la web
La segurida en la webLa segurida en la web
La segurida en la web
diego prado
 

Destacado (19)

Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001Convergencia ITIL Vs ISO27001
Convergencia ITIL Vs ISO27001
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Elementos de la computadora Ivan Aracena
Elementos de la computadora Ivan AracenaElementos de la computadora Ivan Aracena
Elementos de la computadora Ivan Aracena
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informática
 
Integridad de informacion
Integridad de informacionIntegridad de informacion
Integridad de informacion
 
Normas de seguridad informatica
Normas de seguridad informaticaNormas de seguridad informatica
Normas de seguridad informatica
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Introducción a Administración de riegos
Introducción a Administración de riegosIntroducción a Administración de riegos
Introducción a Administración de riegos
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticos
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Conceptos Basicos De PrevencióN De Riesgos
Conceptos Basicos De PrevencióN De RiesgosConceptos Basicos De PrevencióN De Riesgos
Conceptos Basicos De PrevencióN De Riesgos
 
Seguridad en los sistemas informaticos@ (2)
Seguridad en los sistemas informaticos@ (2)Seguridad en los sistemas informaticos@ (2)
Seguridad en los sistemas informaticos@ (2)
 
íNdice de temas
íNdice de temasíNdice de temas
íNdice de temas
 
La segurida en la web
La segurida en la webLa segurida en la web
La segurida en la web
 

Similar a expo Isoeic27000

ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Felipe Zamora
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
paokatherine
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
guestf9a7e5
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Mariana Heredia Thorne
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
MarcosPassarello2
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
Gerson1993
 
Conferencia
ConferenciaConferencia
Conferencia
Fredy Giovanni Duitama Martínez
 
Conferencia
ConferenciaConferencia
Conferencia
Fredy Giovanni Duitama Martínez
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
Core One Information Technology SA de CV
 
facebook completado
facebook completadofacebook completado
facebook completado
mitzihermosa
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 

Similar a expo Isoeic27000 (20)

ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Conferencia
ConferenciaConferencia
Conferencia
 
Conferencia
ConferenciaConferencia
Conferencia
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
facebook completado
facebook completadofacebook completado
facebook completado
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 

expo Isoeic27000

  • 1. Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei
  • 2. Indice  Conceptos básicos SGSI  ISO/IEC 27000  Implementaciones de ISO/IEC 27000  La seguridad del lado del usuario.  El SGSI de la UCR
  • 3. Todos los días tenemos riegos que atentan contra la seguridad de la información: Usuario internos Usuarios externos Desastres naturales
  • 4. ¿Qué podemos hacer para proteger datos e información en un entorno como este?  La respuesta es simple:  Se puede implementar un sistema de gestión de seguridad de la información.  ¿Para qué sirve?  Conocer  Gestionar  Minimizar  Los riesgos que atentan contra la seguridad de la información
  • 5. ¿Seguridad informática es lo mismo que seguridad de la información? *Los activos de información provienen de distintas fuentes y se almacenan en diversos soportes, como BD e inclusiv impresos.
  • 6. ¿Qué nos permite un SGSI?  Analizar y ordenar la estructura de los sistema de información.  Establecer los procedimientos de trabajo para mantener su seguridad.  Disponer de controles para medir la eficacia de lo establecido en el punto anterior. La idea es alcanzar un nivel de riesgo menor que el soportado por la institución, para preservar la confidencialidad, integridad y disponibilidad de la información.
  • 7. ¿Qué aspectos de seguridad abarca un SGSI?
  • 8. ISO / IEC 27000 Ana Cecilia Vargas Alonso Castro Mattei
  • 9. Normas ISO/IEC 27000  Contiene las mejores prácticas recomendadas en seguridad de la información para desarrollar, implementar y mantener especificaciones para los SGSI:  ISO/IEC 27000 - es un vocabulario estandard para el SGSI. (en desarrollo actualmente).  ISO/IEC 27001 - es la certificación para las organizaciones. Especifica los requisitos para la implantación del SGSI. La más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
  • 10. Normas ISO/IEC 27000  ISO/IEC 27002 - es código de buenas prácticas para la gestión de seguridad de la información.  ISO/IEC 27003 - son directrices para la implementación de un SGSI.  ISO/IEC 27004 - son métricas para la gestión de seguridad de la información.  ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información.
  • 11. Normas ISO/IEC 27000  ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información.  ISO/IEC 27007 - Es una guía para auditar al SGSI.  ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.  ISO/IEC 27035:2011 – Técnicas de Seguridad – Gestión de Incidentes de Seguridad: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.
  • 13. Alcance de la Norma ISO/IEC 27000  ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc.  No debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en día una importancia mas que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la la actividad de la empresa.
  • 15.
  • 20. Trabajo colaborativo Tanto la institución como el ISP, debe asegurar que la información que viaja por la red y por los equipos de comunicación que administra lleguen a su destino seguros.
  • 21. La seguridad del lado de los usuarios de los sistemas de información
  • 23. Spam  (1): Sitio web de Spammers  (2): Spammer  (3): Spamware  (4): Ordenadores infectados  (5): Virus o troyanos  (6): Servidores de correo  (7): Usuarios  (8): Tráfico Web
  • 24. Recomendaciones para la seguridad de contraseñas  Cambie periódicamente la contraseña.  Procure que la contraseña tenga como mínimo 8 caracteres combinando números, letras y símbolos.  Evite utilizar nombres propios, o temas asociables a su persona.  Elija un usuario y contraseña distintos.  Nunca anote las claves en un papel.  Nunca revele sus claves, y menos por email o teléfono.  Evite que vean las claves que introduce.
  • 26. Administración General de la Seguridad y el Entorno de TI Gobierno de Seguridad de Información Gestión de Riesgos de Información Programa continuo de Seguridad Administración del Programa de Seguridad Administración de Incidentes de Seguridad
  • 27. Algunas políticas que estamos implementando  4.1 Clasificación, Control y aseguramiento de bienes de cómputo y comunicaciones:  030101 Asignación de responsabilidades sobre los bienes  030102 Inventario de Recursos Informáticos  4.2 Resguardo y Protección de Información  040103 De los respaldos y recuperación de la información  4.3 Reporte y Manejo de Incidentes de Seguridad  050101 Reporte de Incidentes relativos a la Seguridad de la Información  050102 Reporte de debilidades en materia de Seguridad
  • 28. Algunas políticas que estamos implementando  4.4 Gestión y Administración de la Seguridad de las Operaciones, Responsabilidades y Procedimientos Operacionales  070101 Documentación de los procedimientos operacionales  4.5 Planificación y Aceptación de Sistemas  070201 Planificación de la capacidad  4.6 Protección contra Instrucciones maliciosas y códigos móviles  070301 Controles contra instrucciones maliciosas
  • 29. Algunas políticas que estamos implementando  4.7 De la Administración y Seguridad de los medios de Almacenamiento  070603 De la Administración de medios informáticos removibles  070605 De los procedimientos de manejo de la información  070606 Seguridad de la documentación de los sistemas  4.8 Gestión y Administración de la Seguridad de las Comunicaciones, Intercambio de Información y y software  080106 Política de Uso Aceptable de Internet  080107 Política de Uso Aceptable de Intranet  080108 Política de Uso Aceptable del Correo Electrónico
  • 30. Algunas políticas que estamos implementando  4.9 Control de Accesos, Administración de accesos de usuarios  090201 Asignación de derechos de acceso  090202 Registro de usuarios  090203 Administración de privilegios  090204 Administración de contraseñas de usuario  090205 Revisión de derechos de acceso de usuario  4.10 Control de Acceso a la Red  090407 Control de conexión a la red  090409 Seguridad en los servicios de red
  • 31. Algunas políticas que estamos implementando  4.11 Control de acceso y demás controles aplicables a las bases de datos  090701-500 Implementación de los controles de acceso y demás controles aplicables a las bases de datos de la UCR  4.12 Monitoreo del uso y acceso a los sistemas  090902 Monitoreo del uso de los sistemas