Este documento presenta información sobre la norma internacional ISO 27000 para la gestión de la seguridad de la información. Explica los conceptos clave de esta norma y su evolución a través del tiempo, destacando normas como ISO 27001, ISO 27002 e ISO 27003. Además, describe los componentes clave de un sistema de gestión de seguridad de la información conforme a esta norma internacional.
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Actualización de una presentación que colgué hace casi dos años y que cada vez tiene más actualidad. ¿Por qué no facilitar a los ciudadanos que lo deseen una herramienta para gestionar su Historia Personal de Salud?. En Australia hace poco que se han lanzado a ello.
Practica Individual acerca de Ataque Troyano, utilizando Little Witch, para la Universidad Nacional Abierta y a Distancia UNAD, en la Materia Seguridad en Bases de Datos... Miguel Avila - 2014
Las organizaciones necesitan (en ocasiones deben) demostrar que
realizan una gestión competente y efectiva de la seguridad de los
recursos y datos que gestionan.
− Deben demostrar que identifican y detectan los riesgos a los que está sometida y
que adoptan medidas adecuadas y proporcionadas.
− Necesario: conjunto estructurado, sistemático, coherente y completo de normas a
seguir.
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Aplicación de la norma ISO 20000 para proveedores internos de TI, es decir, áreas de TI de una organización que no se dedica a los servicios de tecnología.
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...EXIN
l objetivo de este Webinar es mostrar un panorama general y beneficios sobre la certificación ISO 20000 para proveedores internos de TI (departamentos o unidades dentro de una organización cuyo foco de negocio no sea Tecnología).
Agenda
Contexto sobre ISO 20000, su renovación reciente (2011) y aplicabilidad sobre organismos que busquen la certificación
Diferencias para la aplicación del estándar entre proveedores internos y externos
Beneficios para proveedores internos
Conclusiones y recomendaciones generales
Historia de los buffer overflows por Juan SaccoJuan Sacco
Quiza una de las vulnerabilidades de segurida mas tecnica, aterradora y clasica son los buffer overflows. Esta clase de vulnerabilidad se remonta hasta 1970 y su estatus llega hasta C y Unix. Luego de una decada de existencia, este tipo de vulnerabilidad esta resuelta? En la charla veremos su historia, ejempos y llegaremos hasta el 2013/4.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
ISO/IEC 27000 es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series. ISO/IEC 27000 es un grupo de estándares internacionales titulados: Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información - Visión de conjunto y vocabulario. Tiene como fin ayudar a organizaciones de todo tipo y tamaño a implementar y operar un Sistema de Gestión de la Seguridad de la Información (SGSI).
La norma ISO/IEC 27000 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnología de la Información, SC 27 Técnicas de Seguridad.
ISO/IEC 27000 proporciona:
Una visión general de normas sobre Sistemas de Gestión de la Seguridad de la Información (SGSI)
Una introducción a los Sistemas de Gestión de la Seguridad de la Información (SGSI)
Una breve descripción del proceso para Planificar - Hacer - Verificar - Actuar (Plan - Do - Check - Act, PDCA).
Los términos y las definiciones utilizadas en la familia de normas Sistemas de Gestión de la Seguridad de la Información (SGSI)
Esta norma internacional es aplicable a todo tipo de organizaciones desde empresas comerciales hasta organizaciones sin ánimo de lucro.
WordPress training basics - básicos de cómo enseñar WordPress
Norma ISO 27000
1. NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA NACIONAL
DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)
MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN
GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO
Barquisimeto, mayo 2014
2. NORMA ISO 27000
Conceptos asociados a ISO 27000
Normas ISO 27000: Familia de
estándares de ISO e IEC que
proporciona un marco para la
gestión de la seguridad de la
Información
Conjunto de normas que especifican los
requisitos para establecer, implantar,
poner en funcionamiento, controlar,
revisar, mantener y mejorar un SGSI.
3. ¿QUÉ ES LA INFORMACIÓN?
La Academia Latinoamericana de
Seguridad Informática (2.004) destaca al
respecto que “la información es el objeto
de mayor valor para las empresas”.
Platos
Motor
Cabeza
lectora
“La información es un activo que, como
otros activos importantes del negocio,
tiene valor para una organización y, por lo
tanto necesita ser protegido” ISO / IEC
27001:2005
4. SEGURIDAD DE LA INFORMACIÓN
Explica que “la seguridad de la información
son las medidas adoptadas para evitar el uso no
autorizado, el mal uso, la modificación o
denegación del uso de conocimientos, hechos,
Datos o capacidades”.
Maiwald (2005)
Regula a nivel legal una parte importante de los Sistemas de
Información de la empresa, los datos de carácter personal.
Ley Orgánica de Protección de Datos (LOPD)
Marco Regulatorio
Especifica controles técnicos, físicos y organizativos para garantizar la
Protección de citados datos.
Reglamento de Desarrollo RD1720/2007
5. Los datos de carácter personal son un subconjunto del activo más
importante que Maneja una empresa:
SEGURIDAD DE LA INFORMACIÓN
Planes estratégicos,
salario del personal,
operaciones financieras
Site público de la empresa,
Publicidad
Ofertas comerciales, ERP,
contabilidad, planes ejecutivos
Empleados, pacientes,
clientes
6. SEGURIDAD DE LA INFORMACIÓN
Click to add Title
Los objetivos principales de la serie 27000 son la protección de la
información en sus diversas dimensiones, garantizando la:
1 Confidencialidad 2 Integridad 3 Disponibilidad
La Organización Internacional de Estandarización (ISO), a través de las normas
recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva:
ISO 27002 (ISO) 17799
Guía de Buenas Prácticas
ISO 27000: Términos
y Definiciones
ISO27001: Requerimientos
del SGSI
7. SEGURIDAD DE LA INFORMACIÓN
En las normas ISO 27001, el concepto del sistema de gestión es común
estableciendo sinergia y un marco de actuación estructural y
documental. Este sistema de gestión está compuesto por:
Manual de
Calidad y
Seguridad
Procesos/
Procedimientos
Operativos
Generales
Registros de
Calidad y
Seguridad
Instrucciones
de Trabajo
Específicas
8. SEGURIDAD DE LA INFORMACIÓN
En las normas ISO 27001, el concepto del sistema de gestión es
común estableciendo sinergia y un marco de actuación estructural y
documental. Este sistema de gestión está compuesto por:
MANUAL DE SEGURIDAD
PROCEDIMIENTOS
INSTRUCCIONES – CHECKLIST -
FORMULARIOS
REGISTROS
9. SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
El SGSI (Sistema de Gestión de Seguridad de la Información) es el
concepto central sobre el que se construye ISO 27001
INFORMACIÓN
DATOS
10. ¿PARA QUÉ SIRVE UN SGSI?
RIESGOS
AMENAZAS
CONTROLES
REQUERIMIENTOS
DE
SEGURIDAD
Imponen
Marcan
Disminuyen
Aumentan
Protegen de
VULNERABILIDAD
ACTIVOS
VALOR
DE LOS
ACTIVOS
Impactan si se
materializan
Aumentan
Tienen
Aumentan
Exponen
Aprovechan
11. EVOLUCIÓN DE LA NORMATIVA
ISO 27000
BSI (British Standards Institution): Organización británica responsable de la
publicación de importantes normas como:
(BS 7799-1): es una guía de
buenas prácticas, para la que
no se establece un esquema de
certificación
(BS 7799-2): publicada por
primera vez en 1998, la
que establece los
requisitos de un sistema
de seguridad de la
información (SGSI) para
ser certificable por una
entidad independiente
Las dos partes de la
norma BS 7799 se
revisaron en 1999 y la
primera parte se adoptó
por ISO, como ISO
17799 en el año 2000
En 2002, se revisó BS 7799-2
para adecuarse a la filosofía de
normas ISO de sistemas de
gestión
1979 Publicación BS 5750 -
ahora ISO 9001
1992 Publicación BS
7750 - ahora ISO
14001
1996 Publicación BS
8800 - ahora OHSAS
18001
Publica a norma BS 7799 en 1995:
conjunto de buenas prácticas para
la gestión de la seguridad de su
información
12. EVOLUCIÓN DE LA NORMATIVA ISO
27000
En 2005, con más de 1700 empresas certificadas en BS7799-2, el
esquema se publicó por ISO como estándar ISO 27001.
1995
BS 7799 Parte 1
Código de
Buenas
Prácticas 1998
BS 7799 Parte 2
Especificación
del SGSI
1999
BS 7799-1 1999
BS 7799-2 1999
Revolución de
las partes
1 y 2
2000
ISO/IEC 17799:2000
Parte 1 se adopta
como ISO
2002
BS 7799-2: 2002
Revisión de la
parte 2
Junio 2005
ISO/IEC
17799: 2000
Revisión de
ISO 17999
Octubre 2005
ISO/IEC 27001
Parte 2
se adopta
como ISO
HISTORIA
DE ISO
27001
14. EVOLUCIÓN DE LA NORMATIVA
ISO 27000
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000
Puntos clave: Gestión
de riesgos + Mejora
continua
Define cómo es el SGSI,
cómo se gestiona y cuáles
son las responsabilidades
de los participantes
Sigue un modelo PDCA
(Plan-Do-Check-Act)
ISO/IEC
27001
15. EVOLUCIÓN
ISO/IEC 27011: guía de
gestión de seguridad de la
información específica para
telecomunicaciones
ISO/IEC 27006: requisitos a
cumplir por las
organizaciones encargadas
de emitir certificaciones
ISO/IEC 27001
ISO/IEC 27002: código de
buenas prácticas para la
gestión de la seguridad
ISO/IEC 27007: guía de
actuación para auditar los
SGSI conforme a las
normas 27000
ISO/IEC 27032: guía de
seguridad en aplicaciones
ISO/IEC 27003: guía
de implementación
de SGSI e
información
EVOLUCIÓN DE LA NORMATIVA
ISO 27000
ISO/IEC 27004: especifica
las métricas y las
técnicas de medida
aplicable para la eficacia
el SGSI
ISO/IEC 27005: gestión de
riesgos de seguridad de
la información
ISO/IEC 27032: guía
relativa a la
ciberseguridad
ISO/IEC 27799: guía para
implantar ISO/IEC 27002
específica para entornos
médicos
ISO/IEC 27031: guía de
continuidad de negocio en lo
relativo a tecnologías de la
información y
comunicaciones
16. EVOLUCIÓN DE LA NORMATIVA
ISO 27000
Diagrama de relación de la reorganización de las cláusulas principales
de la versión 2005 a la publicada en 2013
17. Enfoque del análisis del
riesgo de l afase de
planificación y operación
NUEVA
ISO 27001: 2013
NUEVA ISO 27001: 2013
18. NUEVA ISO 27001: 2013
SGSI
Estudio de
situación actual
en aspectos
de seguridad
Mantenimiento,
evaluacióny
planes de mejora
Comprobarla
efectividad de
las medidas
implantadas
Implantación de
medidas de
seguridad
19. ISO 27001
“Norma que especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto global de los riesgos de
negocio de la organización. Especifica los requisitos para la
implantación de los controles de seguridad hechos a medida de
las necesidades de organizaciones individuales o partes de las
mismas”
Se adopta el
modelo Plan-Do-
Check-Act (PDCA
ó ciclo de Deming)
para todos los
procesos de la
organización
Objetivo:
Mejora
continua
20. PLANIFICAR
(Creación del SGSI
Definir las políticas, objetivos,
procesos y procedimientos del SGSI
relevantes para gestionar el riesgo
y mejorar la seguridad de la
información con el fin de obtener
resultados acordes con las
políticas y objetivos
generales de la organización
HACER
(Implementación y operación del SGSI
Implementar y operar la política,
controles, procesos y
procedimientos del SGSI
VERIFICAR
(Supervisión y revisión del SGSI
Evaluar y, en su caso, medir el
rendimiento del proceso contra la
política, los objetivos y la
experiencia práctica del SGSI, e
informar de los resultados a la
dirección para su revisión
ACTUAR
Mantenimiento y mejora del SGSI
Adoptar medidas correctivas y
preventivas, en función a los
resultados de la auditoría interna
del SGSI y de la revisión por parte
de la dirección, o de otras
informaciones relevantes, para
lograr la mejora continua del SGSI
ISO 27001
ISO 27001
21. VENTAJAS
Garantizar la confidencialidad,
integridad y disponibilidad
de información sensible
Disminuir el riesgo con la
consiguiente reducción de
gastos
Reducir la incertidumbre
por el conocimiento de
los riesgos e impactos
Mejorar continuamente la
gestión de la seguridad
de la información
Garantizar la continuidad del
negocio
Aumentar la competitividad
y mejorar la imagen
corporativa
Incremetar la confianza de
los stakeholders
Aumentar la rentabilidad
derivada del control de
los riesgos
Cumplir la legislación vigente
referente a la seguridad de
la linformación
Aumentar las oportunidades
de negocio
22. VENTAJAS
Mejorar la implicación y
participación del
personal en la gestión
de la seguridad
Reducir los costos asociados
a los incidentes
Posibilidad de integración
con otros sistemas de
gestión como ISO 9001,
ISO14001, OHSAS 18001
entre otros
Mejorar los procesos y
servicios prestados
Aumentar la competitividad
por mejora de la imagen
corporativa
24. DISEÑO DEL SGSI
La implantación de un SGSI debe comenzar con el correcto diseño
Para ello debemos definir
cuatro aspectos fundamentales
Tercero:
La organización de la seguridad
Cuarto:
Programas de concienciación y
formación del personal
Primero:
El alcance del sistema
Segundo:
Las Políticas de seguridad
aseguir
25. La implantación de un SGSI debe comenzar con el correcto diseño
Primero: definir el alcance del
sistema. Qué partes o procesos de la
organización que van a ser incluidos
La empresa debe determinar cuáles
son los procesos críticos para su
organización decidiendo qué es lo
que se quiere proteger y por donde
debe empezar
Dentro del alcance debe quedar
definidas las actividades de la
organización, las ubicaciones físicas
que se van a ver involucradas
DISEÑO DEL SGSI
26. La implantación de un SGSI debe comenzar con el correcto diseño
Qué tecnología de la empresa se
incluirán y qué áreas quedarán
excluidas en la implamntación del
SGSI
Es importante que durante esta fase se
estimen los recursos económicos y de
personal que se van a dedicar a
implantary mantenerel sistema
De nada sirve que la organización
realice un esfuerzo importante durante
la implantación si después no es
capaz de mantenerlo
DISEÑO DEL SGSI
27. POLÍTICAS DE SEGURIDAD
Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad
Recoger las directrices que debe seguir el
SGSI de acuerdo a las necesidades y la
legislación vigente
Se debe establecer las pautas de
actuación en el caso de incidentes y
definir responsabilidades
Las políticas deben delimitar qué se
protege, de quién y por qué
Determinar qué está permitido y qué no;
límite de comportamiento aceptable, y
cuál es la respuesta si existe abuso
Identificar los riesgos a los que está
sometida la organización
Para que la política de seguridad sea un
documento de utilidad, con lo establecido en la
norma ISO/IEC 27001 debe cumplir con ciertos
requisitos.
Redacción accesible para todo el
personal. Corta, precisa y fácil de
comprender
Debe ser aprobada por la dirección de la
organización y publicitada por la misma
Debe ser de dominio público dentro de la
organización y debe estar disponible
para su consulta
Debe ser referencia para la resolución de
conflictos relativas a la seguridad de la
información de la organización
28. POLÍTICAS DE SEGURIDAD
En función a las responsabilidades se decidirá quién está autorizado a acceder a qué
tipo de información
Se debe indicar qué se protege,
incluyendo tanto al personal como
a la información, la reputación y la
continuidad
Debe ser personalizada para cada
organización
Se deben señalar las normas y reglas
que va adoptar la organización y las
medidas de seguridad necesarias
Las política de seguridad debe incluir
al menos los siguientes apartados
1 - Definición de la SI, objetivos
globales, alcance de la seguridad,
importancia y los mecanismos de
control.
2- Declaración por parte de la
organización donde se apoyan los
objetivos y principios de la SI
3 – Breve explicación de las políticas
4- Definir responsabilidades generales
y específicas donde se incluirán los
roles que se deban cumplir
5 – Referencia a documentos para
sustentar las políticas.
Las políticas de SI debe ser un
documento actualizado por lo que
debe ser revisado y modificado
anualmente
29. ORGANIZACIÓN DE LA SEGURIDAD
La organización de la seguridad es otro aspecto de immportnacia durante el diseño
del SGSI
1
1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas
responsabilidades
Responsable de seguridad. Comité de Dirección. Comité de Gestión
2. Al plantear la nueva organización y responsabilidades se debe identificar
posibles riesgos y se debe tomar medidas al respecto2
3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los
despachos, en estos casos es posible firmar acuerdos de confidencialidad
3
4
4. La última fase del diseño del SGSI es la concienciación y formación del personal
con el fin de crear una cultura de seguridad
30. ALCANCES
Para determinar el alcance y límites del SGSI se debe especificar las
características de la organización, su ubicación, activos, tecnología e
incluir detalles de cualquier exclusión dentro del alcance que pudieran
considerarse.
El alcance, es un aspecto fundamental, ya que delimita las partes de la
organización que se ven afectadas, y por tanto, las partes que se deben
auditar.
31. El alcance, con todas las características debe
estar documentado.
2
3
45
1
La organización debe determinar los
límites y aplicabilidad del sistema de
gestión de seguridad de la información
La organización debe considerar, en el alcance,
los elementos internos y externos para su
propósito que puedan afectar a la consecución
de los objetivos del SGSI.
Se debe considerar, las partes interesadas
para el SGSI y los aspectos legales y
regulatorios incluir
Se debe considerar, las interfaces y dependencias
entre las actividades de la organización y las que
realizan otras organizaciones (proveedores).
Cláusula 4.3 En esta cláusula aparecen 5 especificaciones:
4
ALCANCES
33. NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA NACIONAL
DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)
MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN
GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO
Barquisimeto, mayo 2014
Diseño:ReinaldoPérezLeón
reyleon1970@gmail.com
04245461944