SlideShare una empresa de Scribd logo

Estandares de Ciberseguridad.pdf

S
ssuser44ff1b

Estandares de ciberseguridad

Tecnología
1 de 38
Descargar para leer sin conexión
ESTÁNDARES DE CIBERSEGURIDAD Sesión N°1 – Organizaciones y estándares de ciberseguridad
▪ Presentación del Curso ▪ Introducción a los Estándares de Ciberseguridad ▪ Estándares ISO ▪ Estándares NIST Agenda
Estándares de Ciberseguridad Presentación del Curso
▪ Curso de 10 secciones ▪ Horario: ▪ Martes y Jueves ▪ 10:30 a 13:00 ▪ Horario de Santiago de Chile (GMT-3) ▪ Break de 15 minutos a las 11:30 Características Generales
▪ Sesión 1: Organizaciones y Estándares de Ciberseguridad ▪ Sesión 2: Sistema de Gestión de la Seguridad de la Información ISO 27.001 ▪ Sesión 3: Estándares de Gestión de Riesgo ▪ Sesión 4: ISO 27.002 – Controles de Seguridad se la Información ▪ Sesión 5: ISO 27.035 - Gestión de Incidentes de Seguridad de la Información ▪ Sesión 6: ISO 22301 - Gestión de la Continuidad del Negocio ▪ Sesión 7: ISO 27.701 - Gestión de Privacidad ▪ Sesión 8: Cobit 2019 – Gobierno y Gestión de la Información y Tecnologías ▪ Sesión 9: NIST CSF – Framework de Ciberseguridad ▪ Sesión 10: Estándares de Ciberseguridad Gubernamentales Detalle de Sesiones
▪ Cinco evaluaciones ▪ Por cada semana existe una evaluación ▪ Se habilitaran los Jueves ▪ Se cerraran el Miércoles próximo ▪ Son test de 40 preguntas ▪ Opción múltiple – 4 alternativas ▪ Foco 75% teórico – 25% práctico ▪ Sincrónicos – Tienen 60 minutos de duración ▪ La nota final es un promedio de las 5 evaluaciones Evaluaciones
▪ Ingeniero Civil en Informática y Magister en Informática © de la Universidad de Santiago de Chile, Diplomado en Auditoría de Sistemas, Postitulado en Seguridad Computacional y Gestión de Procesos de Negocios de la Universidad de Chile. ▪ Especialista en gobernanza, gestión y control de tecnologías de información empleando modelos como COBIT, ITIL, ISO 27001 e ISO 22301. Posee certificaciones internacionales CISA, CISM, COBIT, ISO Lead Auditor 27001, ISO Lead Auditor BS 25599 e ITIL V3, entre otras. ▪ Director de los Programas de Ciberseguridad de Capacitación USACH. Profesor del Curso - Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl
Estándares de Ciberseguridad Estándares de Ciberseguridad
¿Cuáles estándares son los que UD conoce?
1. Buscan satisfacer una necesidad 2. Establecen buenas prácticas en la materia 3. Tienen un propósito definido 4. Tienen un gran potencial de integración ¿Cuáles son los objetivos de un Estándar?
Buscan satisfacer una necesidad 1. Buscan satisfacer una necesidad 2. Establecen buenas prácticas en la materia 3. Tienen un propósito definido 4. Tienen un gran potencial de integración
Establecen Buenas Prácticas en la Materia 1. Necesidades transversales ▪ Calidad (ISO 9001) ▪ Salud y Seguridad Ocupacional (ISO 45.001) 2. Necesidades sectoriales ▪ Seguridad de la Información (ISO 27.001) ▪ Salud y Seguridad Ocupacional (ISO 45.001) ▪ Gestión ambiental (ISO 14.001) 3. Necesidades de industrias ▪ Seguridad en Cloud (ISO 27.017) ▪ Seguridad en Sector Eléctrico (ISO 27.019) ▪ Seguridad en Salud(ISO 27.799) 4. Necesidades especificas ▪ ……
Buscan satisfacer una necesidad Fuente: https://www.iso.org/about-us.html
Establecen buenas prácticas en la materia ✓Son desarrolladas en diversos contextos ✓Requisitos, controles, framework, procesos, modelo de madurez,….. ✓Son desarrolladas por expertos y partes interesadas ✓Participan expertos en la materia más instituciones claves ✓Buscan dar lineamientos sobre la mejor práctica de la industria ✓Basado en el conocimiento experto ✓Basado en la necesidad de las organizaciones ✓Generalmente ✓Son neutrales tecnológicamente (agnósticas)
Para que sirven Requisitos para Sistemas de Gestión Recomendaciones de controles Directrices para la implementación Modelos de Madurez Establecen un Framework ▪ Definen requisitos para la implementación de un sistema de gestión. ▪ Son muy específicos, dice que DEBE hacerse, pero no dicen como!! ▪ Proporcionar directrices especificas para la implementación. ▪ Apoyo la implementación de procesos y componentes de un sistema de gestión. ▪ Otorgan lineamientos para la implementación de controles. ▪ Buen punto de referencia, si se usan en complemento con otros modelos mejor aún. ▪ Permiten evaluar las capacidades y niveles de madurez de la organización. ▪ Buen lineamiento para el desarrollo de GAP, auditoría y planes de implementación. ▪ Define un conjunto de lineamientos transversales para su uso. ▪ Normalmente obedecen a un conjunto de publicación para un fin de alto nivel.
Tienen un propósito definido Requisitos para Sistemas de Gestión Recomendaciones de controles Directrices para la implementación Modelos de Madurez Establecen un Framework ▪ Estándares ISO basados en anexo SL ▪ Son Certificables ▪ ISO 9.001 ▪ ISO 14.001 ▪ ISO 20.000 ▪ ISO 27.001 ▪ ISO 22.301 ▪ ISO 50.001 ▪ ….. ▪ Apoyan la adopción de sistemas de gestión o framework ▪ ISO 27.003 ▪ ISO 27.004 ▪ ISO 27.022 ▪ ISO 22.310 ▪ ….. ▪ NIST 800-34 ▪ NIST 800-53 ▪ NIST 800-62 ▪ NIST 800-82 ▪ … ▪ Cobit Implementing ▪ Cobit Desing ▪ Definen controles bajo el dominio de definición ▪ ISO 27.002 ▪ ISO 27.017 ▪ ISO 27.032 ▪ …. ▪ CIS v8 ▪ … ▪ NIST 800-53 ▪ Definen modelos de madurez para procesos en torno a un dominio ▪ COBIT 2019 ▪ …. ▪ CMMi ▪ … ▪ NIST CSF ▪ … ▪ CIS Maturity Model ▪ Definen métodos, prácticas y componentes para su implementación. ▪ COBIT 2019 ▪ NIST CSF ▪ CMMi ▪ ISA 62.443 ▪ Mitre Attack ▪ PCI-DSS ▪ …. ▪ Estándares ISO?
Potencial de Integración ✓Principal valor del uso de estándares!!! ✓Desafío: ✓Conocer los marcos de referencia ✓Saber como poder integrarlos ✓Sacar lo mejor de cada uno ✓Como se integran ✓Desde las mismas normas ISO existen referencias de integración ✓Muchas publicaciones de integración entre normas
Ejemplos de Integración – Gestión de Incidencias 27001 ▪ En el Anexo A establece 6 controles ▪ Establece que controlar, pero no como hacerlo 27002 ▪ Define lineamientos de implementación de los controles del Anexo A ▪ Describe en mayor detalle los controles, pero a nivel de lineamiento ▪ Es un buen punto de partida, pero no da directrices concretas 27035-1 ▪ Define lineamientos para la implementación del proceso ▪ Muy buen nivel de detalle a nivel de proceso y actividades ▪ Totalmente alineada con la ISO 27.002 27035-2 ▪ Define el proceso en detalle, con actividades, roles y productos. ▪ Proporciona ejemplos para evaluar incidentes de seguridad ▪ Proporciona ejemplos de informes de incidentes ▪ Totalmente alineada con la ISO 27.002 e ISO 27.035-1
Ejemplos de Integración – Gestión de Continuidad 27001 ▪ En el Anexo A establece 3 controles ▪ Establece que controlar, pero no como hacerlo 27002 ▪ Define lineamientos de implementación de los controles del Anexo A ▪ Describe en mayor detalle los controles, pero a nivel de lineamiento ▪ Es un buen punto de partida, pero no da directrices concretas 22.301 ▪ Define lineamientos para la implementación del SGCN ▪ Muy buen nivel de detalle a nivel de proceso y actividades ▪ La ISO 27.002 se alinea con estas definiciones 22.300 ▪ 22.313 – Directrices de Implementación ▪ 22.317 – Directrices para el desarrollo del BIA ▪ 22.331 - Directrices para estrategias de continuidad del negocio ▪ 22.332 – Directrices para la implementación de planes de continuidad ▪ 22.398 – Directrices para el desarrollo de ejercicios
Ejemplos de Integración – NIST 27001 62.443
Problemas cuando trabajamos con estándares ✓No se comprende muchas veces su alcance ✓Son guías, directrices, modelos de madurez, controles, procesos, referencia, declaraciones, frameworks, marcos, etc. ✓No se comprende su uso ✓Menudo problema!!! ✓Se espera más de lo que son ✓Principalmente por desconocimiento de como trabajan y se integran ✓Una gran carga documental ✓Sin duda que generan documentación, pero debe ser manejable
Estándares de Ciberseguridad Estándares ISO
International Organization for Standardization - ISO ✓La Organización Internacional para la Estandarización es una organización independiente, no gubernamental con presencia en 164 países. ✓En base a 784 comités técnicos y subcomité desarrollan buenas prácticas para soportar la innovación y provee de soluciones para los desafíos globales. ✓Es conocida por la estandarización de normas y buenas prácticas en las más amplias materias y alcances. ✓Las normas se crean en base a las necesidades globales, pudiendo estas ser una estandarización de buenas prácticas existentes, una actualización de estas o algo totalmente nuevo. ✓El acrónimo ISO proviene del vocablo griego ISO, el cual significa igual.
Proceso de creación de una norma ▪ https://www.iso.org/stages-and- resources-for-standards- development.html
Un poco de números A nivel global ISO 27.001 en LATAM+España
Anexo SL ✓Desde el año 2012 a la fecha la publicación de las normas ISOs que definen Sistemas de Gestión presenta una estructura común definida en el Anexo SL. ✓ Todas las normas ISO que definen sistemas de gestión tienen esta estructura. ✓ Son además las normas certificables.
Beneficios del Anexo SL ✓La estandarización que poseen los sistemas de gestión facilita su adopción de manera integrada. ✓Muchos son los beneficios de estos: ✓ Desarrollar una política general única ✓ Emplear un único sistema de gestión documental ✓ Establecer mecanismos de revisión de la dirección integrado ✓ Realizar auditorías conjuntas a los sistemas de gestión ✓ Establecer mecanismos de mejora continua integrados ✓ ….. ✓Hoy en día muchas organizaciones avanzan a: ✓ ISO 9.000 + ISO 27.001 ✓ ISO 9.000 + ISO 20.000 ✓ ISO 9.000 + ISO 27.001 + ISO 22.301 ✓ ISO 9.000 + ISO 20.000 + ISO 27.001
Modelo PDCA - PHVA ✓Intrínsicamente todos los estándares ISO que definen Sistemas de Gestión poseen el enfoque de mejora continua basado en el ciclo PDCA o circulo de calidad de Deming ✓El ciclo PDCA o PHVA en español se estructura en torno al planificar (plan), hacer (do), verificar (check) y actuar (act).
Ejemplo general SGSI – ISO 27.001 Fuente: https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html
Ecosistema de Normas ISO 27014 Gobierno de la Ciberseguridad ISO 27701 Gestión de la Privacidad ISO 27033 Seguridad en Redes ISO 27034 Seguridad en Aplicaciones ISO 27037 Evidencia Electrónica ISO 27.003 Directrices de Implementación ISO 27.004 Indicadores del SGSI ISO 27.022 Procesos del SGSI
Estándares de Ciberseguridad Estándares NIST
Instituto Nacional de Estándares y Tecnología ✓El instituto Nacional de Estándares y Tecnologías, fundada en 1901, es una agencia del Departamento de Comercio de los Estados Unidos. ✓Su objetivo es promover la innovación y competencia norteamericanas. ✓Emite una serie de normas técnicas y estándares, entre los que se encuentra el Framework NIST para la Ciberseguridad en Infraestructuras Críticas.
Framework de Ciberseguridad – NIST CSF 5 Funciones 23 Categorías 108 Sub-Categorías
Referencias Normativas
Acerca del NIST CSF ✓Un excelente modelo de referencia para la Ciberseguridad. ✓Facilita la implementación en base a perfiles definidos para industrias. ✓Establece niveles de implementación, lo cual facilita su adopción. ✓No es una guía detallada de implementación se basa en otros marcos de referencia. Si desea implementarse es muy importante el conocimiento de otros modelos de referencia.
Estándares de Ciberseguridad Consultas
Consultas ▪ Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl
FUNDAMENTOS DE ESTÁNDARES DE CIBERSEGURIDAD Sesión N°1 – Organizaciones y estándares de ciberseguridad

Recomendados

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Manuel Garcia Ramos
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001CONSULTORES & AUDITORES EN GESTION S.A.S
 
ISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfAmyPoblete3
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidadAnnie Mrtx
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TIJesus Cisneros Morales
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Claudis Muñoz
 

Recomendados

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Manuel Garcia Ramos
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001CONSULTORES & AUDITORES EN GESTION S.A.S
 
ISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfAmyPoblete3
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidadAnnie Mrtx
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TIJesus Cisneros Morales
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Claudis Muñoz
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Claudis Muñoz
 
Estandares y normas iso
Estandares y normas isoEstandares y normas iso
Estandares y normas isoDaniiel Toorres
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Estandares de calidad aplicadas al software
Estandares de calidad aplicadas al softwareEstandares de calidad aplicadas al software
Estandares de calidad aplicadas al softwareAngel Canul Cruz
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000martincillo1234321
 
Estandares Y Normas de ISO
Estandares Y Normas de ISOEstandares Y Normas de ISO
Estandares Y Normas de ISOSandy Montoya Reyes
 
Efc api - luis fernando aguas - 29012022 1700
Efc api - luis fernando aguas - 29012022 1700Efc api - luis fernando aguas - 29012022 1700
Efc api - luis fernando aguas - 29012022 1700Luis Fernando Aguas Bucheli
 
Introduccion a la Ingenieria de Software
Introduccion a la Ingenieria de SoftwareIntroduccion a la Ingenieria de Software
Introduccion a la Ingenieria de Softwareangelicaastorga
 
Introduccion norma iso iec 12207.v1.1
Introduccion norma iso iec 12207.v1.1Introduccion norma iso iec 12207.v1.1
Introduccion norma iso iec 12207.v1.1Ricardo Calderón Cruz
 
Cobit
CobitCobit
CobitIsaacutfv
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Pedro Cobarrubias
 
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...Jose Luis Huamanchumo Ruiz
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalNombre Apellidos
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalMoises Puente
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Ivan
IvanIvan
IvanIvan Martinez
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Más contenido relacionado

Similar a Estandares de Ciberseguridad.pdf

Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Claudis Muñoz
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Estandares de calidad aplicadas al software
Estandares de calidad aplicadas al softwareEstandares de calidad aplicadas al software
Estandares de calidad aplicadas al softwareAngel Canul Cruz
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000martincillo1234321
 
Introduccion a la Ingenieria de Software
Introduccion a la Ingenieria de SoftwareIntroduccion a la Ingenieria de Software
Introduccion a la Ingenieria de Softwareangelicaastorga
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Pedro Cobarrubias
 
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...Jose Luis Huamanchumo Ruiz
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalMoises Puente
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 

Similar a Estandares de Ciberseguridad.pdf (20)

Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Estandares y normas iso
Estandares y normas isoEstandares y normas iso
Estandares y normas iso
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Estandares de calidad aplicadas al software
Estandares de calidad aplicadas al softwareEstandares de calidad aplicadas al software
Estandares de calidad aplicadas al software
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 
Estandares Y Normas de ISO
Estandares Y Normas de ISOEstandares Y Normas de ISO
Estandares Y Normas de ISO
 
Efc api - luis fernando aguas - 29012022 1700
Efc api - luis fernando aguas - 29012022 1700Efc api - luis fernando aguas - 29012022 1700
Efc api - luis fernando aguas - 29012022 1700
 
Introduccion a la Ingenieria de Software
Introduccion a la Ingenieria de SoftwareIntroduccion a la Ingenieria de Software
Introduccion a la Ingenieria de Software
 
Introduccion norma iso iec 12207.v1.1
Introduccion norma iso iec 12207.v1.1Introduccion norma iso iec 12207.v1.1
Introduccion norma iso iec 12207.v1.1
 
Cobit
CobitCobit
Cobit
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad
 
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
Pas 99 especificación de los requisitos comunes del sistema de gestión como m...
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Ivan
IvanIvan
Ivan
 

Último

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Último (16)

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

Estandares de Ciberseguridad.pdf

  • 1. ESTÁNDARES DE CIBERSEGURIDAD Sesión N°1 – Organizaciones y estándares de ciberseguridad
  • 2. ▪ Presentación del Curso ▪ Introducción a los Estándares de Ciberseguridad ▪ Estándares ISO ▪ Estándares NIST Agenda
  • 4. ▪ Curso de 10 secciones ▪ Horario: ▪ Martes y Jueves ▪ 10:30 a 13:00 ▪ Horario de Santiago de Chile (GMT-3) ▪ Break de 15 minutos a las 11:30 Características Generales
  • 5. ▪ Sesión 1: Organizaciones y Estándares de Ciberseguridad ▪ Sesión 2: Sistema de Gestión de la Seguridad de la Información ISO 27.001 ▪ Sesión 3: Estándares de Gestión de Riesgo ▪ Sesión 4: ISO 27.002 – Controles de Seguridad se la Información ▪ Sesión 5: ISO 27.035 - Gestión de Incidentes de Seguridad de la Información ▪ Sesión 6: ISO 22301 - Gestión de la Continuidad del Negocio ▪ Sesión 7: ISO 27.701 - Gestión de Privacidad ▪ Sesión 8: Cobit 2019 – Gobierno y Gestión de la Información y Tecnologías ▪ Sesión 9: NIST CSF – Framework de Ciberseguridad ▪ Sesión 10: Estándares de Ciberseguridad Gubernamentales Detalle de Sesiones
  • 6. ▪ Cinco evaluaciones ▪ Por cada semana existe una evaluación ▪ Se habilitaran los Jueves ▪ Se cerraran el Miércoles próximo ▪ Son test de 40 preguntas ▪ Opción múltiple – 4 alternativas ▪ Foco 75% teórico – 25% práctico ▪ Sincrónicos – Tienen 60 minutos de duración ▪ La nota final es un promedio de las 5 evaluaciones Evaluaciones
  • 7. ▪ Ingeniero Civil en Informática y Magister en Informática © de la Universidad de Santiago de Chile, Diplomado en Auditoría de Sistemas, Postitulado en Seguridad Computacional y Gestión de Procesos de Negocios de la Universidad de Chile. ▪ Especialista en gobernanza, gestión y control de tecnologías de información empleando modelos como COBIT, ITIL, ISO 27001 e ISO 22301. Posee certificaciones internacionales CISA, CISM, COBIT, ISO Lead Auditor 27001, ISO Lead Auditor BS 25599 e ITIL V3, entre otras. ▪ Director de los Programas de Ciberseguridad de Capacitación USACH. Profesor del Curso - Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl
  • 9. ¿Cuáles estándares son los que UD conoce?
  • 10. 1. Buscan satisfacer una necesidad 2. Establecen buenas prácticas en la materia 3. Tienen un propósito definido 4. Tienen un gran potencial de integración ¿Cuáles son los objetivos de un Estándar?
  • 11. Buscan satisfacer una necesidad 1. Buscan satisfacer una necesidad 2. Establecen buenas prácticas en la materia 3. Tienen un propósito definido 4. Tienen un gran potencial de integración
  • 12. Establecen Buenas Prácticas en la Materia 1. Necesidades transversales ▪ Calidad (ISO 9001) ▪ Salud y Seguridad Ocupacional (ISO 45.001) 2. Necesidades sectoriales ▪ Seguridad de la Información (ISO 27.001) ▪ Salud y Seguridad Ocupacional (ISO 45.001) ▪ Gestión ambiental (ISO 14.001) 3. Necesidades de industrias ▪ Seguridad en Cloud (ISO 27.017) ▪ Seguridad en Sector Eléctrico (ISO 27.019) ▪ Seguridad en Salud(ISO 27.799) 4. Necesidades especificas ▪ ……
  • 13. Buscan satisfacer una necesidad Fuente: https://www.iso.org/about-us.html
  • 14. Establecen buenas prácticas en la materia ✓Son desarrolladas en diversos contextos ✓Requisitos, controles, framework, procesos, modelo de madurez,….. ✓Son desarrolladas por expertos y partes interesadas ✓Participan expertos en la materia más instituciones claves ✓Buscan dar lineamientos sobre la mejor práctica de la industria ✓Basado en el conocimiento experto ✓Basado en la necesidad de las organizaciones ✓Generalmente ✓Son neutrales tecnológicamente (agnósticas)
  • 15. Para que sirven Requisitos para Sistemas de Gestión Recomendaciones de controles Directrices para la implementación Modelos de Madurez Establecen un Framework ▪ Definen requisitos para la implementación de un sistema de gestión. ▪ Son muy específicos, dice que DEBE hacerse, pero no dicen como!! ▪ Proporcionar directrices especificas para la implementación. ▪ Apoyo la implementación de procesos y componentes de un sistema de gestión. ▪ Otorgan lineamientos para la implementación de controles. ▪ Buen punto de referencia, si se usan en complemento con otros modelos mejor aún. ▪ Permiten evaluar las capacidades y niveles de madurez de la organización. ▪ Buen lineamiento para el desarrollo de GAP, auditoría y planes de implementación. ▪ Define un conjunto de lineamientos transversales para su uso. ▪ Normalmente obedecen a un conjunto de publicación para un fin de alto nivel.
  • 16. Tienen un propósito definido Requisitos para Sistemas de Gestión Recomendaciones de controles Directrices para la implementación Modelos de Madurez Establecen un Framework ▪ Estándares ISO basados en anexo SL ▪ Son Certificables ▪ ISO 9.001 ▪ ISO 14.001 ▪ ISO 20.000 ▪ ISO 27.001 ▪ ISO 22.301 ▪ ISO 50.001 ▪ ….. ▪ Apoyan la adopción de sistemas de gestión o framework ▪ ISO 27.003 ▪ ISO 27.004 ▪ ISO 27.022 ▪ ISO 22.310 ▪ ….. ▪ NIST 800-34 ▪ NIST 800-53 ▪ NIST 800-62 ▪ NIST 800-82 ▪ … ▪ Cobit Implementing ▪ Cobit Desing ▪ Definen controles bajo el dominio de definición ▪ ISO 27.002 ▪ ISO 27.017 ▪ ISO 27.032 ▪ …. ▪ CIS v8 ▪ … ▪ NIST 800-53 ▪ Definen modelos de madurez para procesos en torno a un dominio ▪ COBIT 2019 ▪ …. ▪ CMMi ▪ … ▪ NIST CSF ▪ … ▪ CIS Maturity Model ▪ Definen métodos, prácticas y componentes para su implementación. ▪ COBIT 2019 ▪ NIST CSF ▪ CMMi ▪ ISA 62.443 ▪ Mitre Attack ▪ PCI-DSS ▪ …. ▪ Estándares ISO?
  • 17. Potencial de Integración ✓Principal valor del uso de estándares!!! ✓Desafío: ✓Conocer los marcos de referencia ✓Saber como poder integrarlos ✓Sacar lo mejor de cada uno ✓Como se integran ✓Desde las mismas normas ISO existen referencias de integración ✓Muchas publicaciones de integración entre normas
  • 18. Ejemplos de Integración – Gestión de Incidencias 27001 ▪ En el Anexo A establece 6 controles ▪ Establece que controlar, pero no como hacerlo 27002 ▪ Define lineamientos de implementación de los controles del Anexo A ▪ Describe en mayor detalle los controles, pero a nivel de lineamiento ▪ Es un buen punto de partida, pero no da directrices concretas 27035-1 ▪ Define lineamientos para la implementación del proceso ▪ Muy buen nivel de detalle a nivel de proceso y actividades ▪ Totalmente alineada con la ISO 27.002 27035-2 ▪ Define el proceso en detalle, con actividades, roles y productos. ▪ Proporciona ejemplos para evaluar incidentes de seguridad ▪ Proporciona ejemplos de informes de incidentes ▪ Totalmente alineada con la ISO 27.002 e ISO 27.035-1
  • 19. Ejemplos de Integración – Gestión de Continuidad 27001 ▪ En el Anexo A establece 3 controles ▪ Establece que controlar, pero no como hacerlo 27002 ▪ Define lineamientos de implementación de los controles del Anexo A ▪ Describe en mayor detalle los controles, pero a nivel de lineamiento ▪ Es un buen punto de partida, pero no da directrices concretas 22.301 ▪ Define lineamientos para la implementación del SGCN ▪ Muy buen nivel de detalle a nivel de proceso y actividades ▪ La ISO 27.002 se alinea con estas definiciones 22.300 ▪ 22.313 – Directrices de Implementación ▪ 22.317 – Directrices para el desarrollo del BIA ▪ 22.331 - Directrices para estrategias de continuidad del negocio ▪ 22.332 – Directrices para la implementación de planes de continuidad ▪ 22.398 – Directrices para el desarrollo de ejercicios
  • 20. Ejemplos de Integración – NIST 27001 62.443
  • 21. Problemas cuando trabajamos con estándares ✓No se comprende muchas veces su alcance ✓Son guías, directrices, modelos de madurez, controles, procesos, referencia, declaraciones, frameworks, marcos, etc. ✓No se comprende su uso ✓Menudo problema!!! ✓Se espera más de lo que son ✓Principalmente por desconocimiento de como trabajan y se integran ✓Una gran carga documental ✓Sin duda que generan documentación, pero debe ser manejable
  • 23. International Organization for Standardization - ISO ✓La Organización Internacional para la Estandarización es una organización independiente, no gubernamental con presencia en 164 países. ✓En base a 784 comités técnicos y subcomité desarrollan buenas prácticas para soportar la innovación y provee de soluciones para los desafíos globales. ✓Es conocida por la estandarización de normas y buenas prácticas en las más amplias materias y alcances. ✓Las normas se crean en base a las necesidades globales, pudiendo estas ser una estandarización de buenas prácticas existentes, una actualización de estas o algo totalmente nuevo. ✓El acrónimo ISO proviene del vocablo griego ISO, el cual significa igual.
  • 24. Proceso de creación de una norma ▪ https://www.iso.org/stages-and- resources-for-standards- development.html
  • 25. Un poco de números A nivel global ISO 27.001 en LATAM+España
  • 26. Anexo SL ✓Desde el año 2012 a la fecha la publicación de las normas ISOs que definen Sistemas de Gestión presenta una estructura común definida en el Anexo SL. ✓ Todas las normas ISO que definen sistemas de gestión tienen esta estructura. ✓ Son además las normas certificables.
  • 27. Beneficios del Anexo SL ✓La estandarización que poseen los sistemas de gestión facilita su adopción de manera integrada. ✓Muchos son los beneficios de estos: ✓ Desarrollar una política general única ✓ Emplear un único sistema de gestión documental ✓ Establecer mecanismos de revisión de la dirección integrado ✓ Realizar auditorías conjuntas a los sistemas de gestión ✓ Establecer mecanismos de mejora continua integrados ✓ ….. ✓Hoy en día muchas organizaciones avanzan a: ✓ ISO 9.000 + ISO 27.001 ✓ ISO 9.000 + ISO 20.000 ✓ ISO 9.000 + ISO 27.001 + ISO 22.301 ✓ ISO 9.000 + ISO 20.000 + ISO 27.001
  • 28. Modelo PDCA - PHVA ✓Intrínsicamente todos los estándares ISO que definen Sistemas de Gestión poseen el enfoque de mejora continua basado en el ciclo PDCA o circulo de calidad de Deming ✓El ciclo PDCA o PHVA en español se estructura en torno al planificar (plan), hacer (do), verificar (check) y actuar (act).
  • 29. Ejemplo general SGSI – ISO 27.001 Fuente: https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html
  • 30. Ecosistema de Normas ISO 27014 Gobierno de la Ciberseguridad ISO 27701 Gestión de la Privacidad ISO 27033 Seguridad en Redes ISO 27034 Seguridad en Aplicaciones ISO 27037 Evidencia Electrónica ISO 27.003 Directrices de Implementación ISO 27.004 Indicadores del SGSI ISO 27.022 Procesos del SGSI
  • 32. Instituto Nacional de Estándares y Tecnología ✓El instituto Nacional de Estándares y Tecnologías, fundada en 1901, es una agencia del Departamento de Comercio de los Estados Unidos. ✓Su objetivo es promover la innovación y competencia norteamericanas. ✓Emite una serie de normas técnicas y estándares, entre los que se encuentra el Framework NIST para la Ciberseguridad en Infraestructuras Críticas.
  • 33. Framework de Ciberseguridad – NIST CSF 5 Funciones 23 Categorías 108 Sub-Categorías
  • 35. Acerca del NIST CSF ✓Un excelente modelo de referencia para la Ciberseguridad. ✓Facilita la implementación en base a perfiles definidos para industrias. ✓Establece niveles de implementación, lo cual facilita su adopción. ✓No es una guía detallada de implementación se basa en otros marcos de referencia. Si desea implementarse es muy importante el conocimiento de otros modelos de referencia.
  • 37. Consultas ▪ Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl
  • 38. FUNDAMENTOS DE ESTÁNDARES DE CIBERSEGURIDAD Sesión N°1 – Organizaciones y estándares de ciberseguridad