Iso 27001

U
urquiavictor manuel
Tecnología

Iso 27001......Urquia Marin V.

Iso 27001

U
urquiavictor manuel
Tecnología

Iso 27001......Urquia Marin V.

Iso 27001

1 de 5
ISO 27001 La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre. Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y nos aporta mucha más información en relación a indicadores y como mapearlos a nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles de madurez propuestos para cada proceso. No olvidemos, de entre todas las metodologías, aquellas orientadas a asegurar la seguridad de la información, como requisito indispensable dentro de una organización que gestiona datos y por tanto debe asegurar su confidencialidad, integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la familia de la serie 27000, y por tanto el punto de referencia.
El estándar ISO 27001 cubre de forma efectiva 11 secciones: • Política de Seguridad • Organización de la Seguridad de la Información • Gestión de Activos • Seguridad ligada a Recursos Humanos • Seguridad Física y del Entorno • Gestión de Comunicaciones y Operaciones • Control de Accesos • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información • Gestión de Incidentes de Seguridad de la Información • Gestión de la Continuidad de Negocio • Conformidad El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas . Cuáles son los beneficios • Algunas licitaciones internacionales empiezan a • solicitar una gestión ISO 27001. • Reducción de los costos vinculados a incidentes. • Posibilidad de disminución de las primas de seguro. • Mejora del conocimiento de los sistemas de información, • sus problemas y los medios de protección. • Mejora de la disponibilidad de los materiales y datos. • Protección de la información. ¿La norma ISO 27001 es aplicable a toda la industria? Sí, todas las organizaciones tienen el activo de la información y pueden beneficiarse de una puesta en práctica y certificación de un Sistema de Gestión de Seguridad de la Información. ¿La ISO 27001 afecta solo a IT? No, ISO 27001 cubre todos los aspectos de intercambio de información, desde datos de ordenador a conversaciones en áreas públicas, incluyendo los perímetros de seguridad y el nivel inicial de acceso del personal. v La norma le ayudará a asegurar la continuidad de su negocio en casi todas las circunstancias, como incendios, inundaciones, hackers, pérdida de datos, violación de confidencialidad y terrorismo. c v Una organización tiene la posibilidad de implantar una política de seguridad de la información que cubra toda clase de comunicación y almacenamiento de datos. La ISO 27001 es la espina dorsal de los datos y de su información.
Por que es necesaria la seguridad de la informacion La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen importantes recursos para la empresa SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservación de las características de confidencialidad , integridad y disponibilidad. Principios de Seguridad Informática Confidencialidad Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. Factores de riesgo Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc. Factores tecnológicos de riesgo Virus informáticos: Definición Un virus informático es un programa (código) que se replica, añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
Factores humanos de riesgo Hackers Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos: • Probar que tienen las competencias para invadir un sistema protegido. • Probar que la seguridad de un sistema tiene fallas. Mecanismos de Seguridad Informática Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático. Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan. Normas y Metodologías aplicables  Information Systems and Audit Control Association - ISACA: COBIT  British Standards Institute: BS  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sans Institute, Security Focus, etc  Sarbanes Oxley Act, Basilea II, HIPAA Act,  Leyes NACIONALES  OSSTMM, ISM3, ISO17799:2005, ISO27001  BS 25999  DRII
Iso 27001

Recomendados

Curso ai iso 27001 por
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
3.2K vistas60 diapositivas
Norma Iso 27001 por
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
13.4K vistas9 diapositivas
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos por
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
4.4K vistas44 diapositivas
Iso 27001 por
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
2.6K vistas29 diapositivas
Seguridad y auditoria informatica, iso 17799 por
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
20.3K vistas18 diapositivas
Presentacion SGSI por
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
1.4K vistas13 diapositivas

Más contenido relacionado

La actualidad más candente

Guía de implementación iso 27001:2013 por
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
25.9K vistas62 diapositivas
Certificacion Iso 27001 isec-segurity por
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
2.5K vistas59 diapositivas
Diapositivas Seguridad En Los Sitemas De Informacion por
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
6.8K vistas36 diapositivas
Iso 27001 por
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
1.9K vistas30 diapositivas
Presentación iso 27001 por
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
5.2K vistas8 diapositivas
Auditoría del SGSI por
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
4.4K vistas43 diapositivas

La actualidad más candente(20)

Guía de implementación iso 27001:2013 por Juan Fernando Jaramillo
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo25.9K vistas
Certificacion Iso 27001 isec-segurity por Securinf.com Seguridad Informatica - Tecnoweb2.com
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com2.5K vistas
Diapositivas Seguridad En Los Sitemas De Informacion por Degova Vargas
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas6.8K vistas
Iso 27001 por Eurohelp Consulting
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting1.9K vistas
Presentación iso 27001 por Johanna Pazmiño
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño5.2K vistas
Auditoría del SGSI por Ramiro Cid
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
Ramiro Cid4.4K vistas
Caso práctico implantación iso 27001 por ascêndia reingeniería + consultoría
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría13K vistas
Norma iso 27001 por Jose Rafael
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael674 vistas
Iso 27001 por navidisey
Iso 27001Iso 27001
Iso 27001
navidisey2K vistas
Resumen Norma Iso 27001 por Gladisichau
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau18.5K vistas
Curso formacion_iso27002 por ITsencial
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial1.2K vistas
Estándares de seguridad informática por Manuel Mujica
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica15.6K vistas
Ley Iso27001 por jdrojassi
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi2.7K vistas
AI04 ISO/IEC 27001 por Pedro Garcia Repetto
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto1.7K vistas
Norma iso 27002 por FabiolaGumucio
Norma iso 27002Norma iso 27002
Norma iso 27002
FabiolaGumucio89 vistas
norma iso 17799 por Laura Miranda Dominguez
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez21.4K vistas
La norma iso 27001 por uniminuto
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto724 vistas
Introduccion ISO 27001 SGSI por Alexander Calderón
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón9.7K vistas
Iso27001 Norma E Implantacion Sgsi por Jhonny Willians Franco Delgado
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
Jhonny Willians Franco Delgado12.6K vistas
Estándares Internacionales de Seguridad Informática por Pedro Cobarrubias
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias22.9K vistas

Destacado

Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3) por
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Santiago Bonet
1K vistas33 diapositivas
EstáNdares Y Sistemas De GestióN De Calidad(1) por
EstáNdares Y Sistemas De GestióN De Calidad(1)EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)davidlokito182
1.7K vistas4 diapositivas
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información por
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
477 vistas4 diapositivas
Auditoria Informatica - Tema AI10 ISACA por
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
5.3K vistas55 diapositivas
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN por
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNstandarman
20.4K vistas26 diapositivas
Normas y estandares por
Normas y estandaresNormas y estandares
Normas y estandaresDavid León Garzón
61.4K vistas19 diapositivas

Destacado(7)

Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3) por Santiago Bonet
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Santiago Bonet1K vistas
EstáNdares Y Sistemas De GestióN De Calidad(1) por davidlokito182
EstáNdares Y Sistemas De GestióN De Calidad(1)EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)
davidlokito1821.7K vistas
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información por mayckoll17
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
mayckoll17477 vistas
Auditoria Informatica - Tema AI10 ISACA por Pedro Garcia Repetto
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
Pedro Garcia Repetto5.3K vistas
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN por standarman
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
standarman20.4K vistas
Normas y estandares por David León Garzón
Normas y estandaresNormas y estandares
Normas y estandares
David León Garzón61.4K vistas
Estándares, Modelos y Normas Internacionales de Redes por Jose Adalberto Cardona Ortiz
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de Redes
Jose Adalberto Cardona Ortiz139.4K vistas

Similar a Iso 27001

Seguridad informatica por
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
391 vistas13 diapositivas
Conferencia por
ConferenciaConferencia
ConferenciaFredy Giovanni Duitama Martínez
156 vistas19 diapositivas
Ensayo unidad4 por
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
2.1K vistas28 diapositivas
Conferencia por
ConferenciaConferencia
ConferenciaFredy Giovanni Duitama Martínez
120 vistas19 diapositivas
ISO Danny Yunga por
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
37 vistas7 diapositivas
Ensayo normas juan enrique por
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
809 vistas28 diapositivas

Similar a Iso 27001(20)

Seguridad informatica por Rodrigo Salazar Jimenez
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez391 vistas
Conferencia por Fredy Giovanni Duitama Martínez
ConferenciaConferencia
Conferencia
Fredy Giovanni Duitama Martínez156 vistas
Ensayo unidad4 por mCarmen32
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen322.1K vistas
Conferencia por Fredy Giovanni Duitama Martínez
ConferenciaConferencia
Conferencia
Fredy Giovanni Duitama Martínez120 vistas
ISO Danny Yunga por danny yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga37 vistas
Ensayo normas juan enrique por JUAN ENRIQUE
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE809 vistas
Seguridad-auditoria por Johan Retos
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos373 vistas
cobaxinvanessa@gmail.com por VanessaCobaxin
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
VanessaCobaxin372 vistas
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002 por Miguel Cabrera
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera343 vistas
Intituto tecnologico superior particular por xavier cruz
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz33 vistas
Introducción ISO/IEC 27001:2013 por Juan Fernando Jaramillo
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
Juan Fernando Jaramillo81 vistas
Vc4 nm73 serrano s yosimar-normas seguridad por 17oswaldo
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
17oswaldo139 vistas
ISO 27002(1).pptx por cirodussan
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptx
cirodussan208 vistas
iso 27001.pptx por ibettjaquelineyataco2
iso 27001.pptxiso 27001.pptx
iso 27001.pptx
ibettjaquelineyataco210 vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine212 vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine304 vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine378 vistas
NORMAS ISO por paokatherine
NORMAS ISO NORMAS ISO
NORMAS ISO
paokatherine486 vistas
Unidad 4: Gestión de la seguridad. por dsiticansilleria
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
dsiticansilleria548 vistas
Present. int. a los sgsi.... isis licona por Isis Licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
Isis Licona174 vistas

Último

Tecnologías para la enseñanza virtual por
Tecnologías para la enseñanza virtual Tecnologías para la enseñanza virtual
Tecnologías para la enseñanza virtual mpachecocodem
7 vistas8 diapositivas
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODO por
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODOESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODO
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODOpalaciomoralesmartin
8 vistas5 diapositivas
Presentación: El impacto y peligro de la piratería de software por
Presentación: El impacto y peligro de la piratería de softwarePresentación: El impacto y peligro de la piratería de software
Presentación: El impacto y peligro de la piratería de softwareEmanuelMuoz11
17 vistas66 diapositivas
PyGoat Analizando la seguridad en aplicaciones Django.pdf por
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
6 vistas46 diapositivas
Tarea15.pptx por
Tarea15.pptxTarea15.pptx
Tarea15.pptxillanlir
10 vistas6 diapositivas
Tecnologías para la enseñanza virtual.pptx por
Tecnologías para la enseñanza virtual.pptxTecnologías para la enseñanza virtual.pptx
Tecnologías para la enseñanza virtual.pptxexprosaavedra
11 vistas7 diapositivas

Último(20)

Tecnologías para la enseñanza virtual por mpachecocodem
Tecnologías para la enseñanza virtual Tecnologías para la enseñanza virtual
Tecnologías para la enseñanza virtual
mpachecocodem7 vistas
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODO por palaciomoralesmartin
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODOESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODO
ESTRATEGIAS DE APOYO MARTIN PALACIO TERCER PERIODO
palaciomoralesmartin8 vistas
Presentación: El impacto y peligro de la piratería de software por EmanuelMuoz11
Presentación: El impacto y peligro de la piratería de softwarePresentación: El impacto y peligro de la piratería de software
Presentación: El impacto y peligro de la piratería de software
EmanuelMuoz1117 vistas
PyGoat Analizando la seguridad en aplicaciones Django.pdf por Jose Manuel Ortega Candel
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
Jose Manuel Ortega Candel6 vistas
Tarea15.pptx por illanlir
Tarea15.pptxTarea15.pptx
Tarea15.pptx
illanlir10 vistas
Tecnologías para la enseñanza virtual.pptx por exprosaavedra
Tecnologías para la enseñanza virtual.pptxTecnologías para la enseñanza virtual.pptx
Tecnologías para la enseñanza virtual.pptx
exprosaavedra11 vistas
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real... por codertectura
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
codertectura529 vistas
SOrtiz_Origenes y evolución de internet.ppsx por ARIADNAYJIMENACRUZOR
SOrtiz_Origenes y evolución de internet.ppsxSOrtiz_Origenes y evolución de internet.ppsx
SOrtiz_Origenes y evolución de internet.ppsx
ARIADNAYJIMENACRUZOR6 vistas
Meetup_Secrets_of_DW_2_Esp.pptx por FedericoCastellari
Meetup_Secrets_of_DW_2_Esp.pptxMeetup_Secrets_of_DW_2_Esp.pptx
Meetup_Secrets_of_DW_2_Esp.pptx
FedericoCastellari11 vistas
Tecnologías para la enseñanza virtual_cdc.pptx por CarmenerdelHuasco
Tecnologías para la enseñanza virtual_cdc.pptxTecnologías para la enseñanza virtual_cdc.pptx
Tecnologías para la enseñanza virtual_cdc.pptx
CarmenerdelHuasco5 vistas
fundamentos de electricidad electronica por Kevin619029
fundamentos de electricidad electronicafundamentos de electricidad electronica
fundamentos de electricidad electronica
Kevin6190295 vistas
Como sacar el máximo partido a los Cores de MuleSoft - optimización y buenas ... por Francisco Javier Toscano Lopez
Como sacar el máximo partido a los Cores de MuleSoft - optimización y buenas ...Como sacar el máximo partido a los Cores de MuleSoft - optimización y buenas ...
Como sacar el máximo partido a los Cores de MuleSoft - optimización y buenas ...
Francisco Javier Toscano Lopez46 vistas
MVelazco_Internet, Origenes y Evolucion.pptx por al223915
MVelazco_Internet, Origenes y Evolucion.pptxMVelazco_Internet, Origenes y Evolucion.pptx
MVelazco_Internet, Origenes y Evolucion.pptx
al2239155 vistas
1.2. ALAN TOURING EL PADRE DE LA COMPUTACIÓN.pdf por Fernando Samaniego
1.2. ALAN TOURING EL PADRE DE LA COMPUTACIÓN.pdf1.2. ALAN TOURING EL PADRE DE LA COMPUTACIÓN.pdf
1.2. ALAN TOURING EL PADRE DE LA COMPUTACIÓN.pdf
Fernando Samaniego8 vistas
Probando aplicaciones basadas en LLMs.pdf por Federico Toledo
Probando aplicaciones basadas en LLMs.pdfProbando aplicaciones basadas en LLMs.pdf
Probando aplicaciones basadas en LLMs.pdf
Federico Toledo49 vistas
El Ciberespacio y sus Características.pptx por AnthlingPereira
El Ciberespacio y sus Características.pptxEl Ciberespacio y sus Características.pptx
El Ciberespacio y sus Características.pptx
AnthlingPereira14 vistas
Dominios de internet.pdf por NahomiBanchen
Dominios de internet.pdfDominios de internet.pdf
Dominios de internet.pdf
NahomiBanchen10 vistas
PRESENTACIÓN.pptx por susanaasotoleiva
PRESENTACIÓN.pptxPRESENTACIÓN.pptx
PRESENTACIÓN.pptx
susanaasotoleiva6 vistas
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf por ortizjuanjose591
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdfFUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf
ortizjuanjose5917 vistas
Dominios de Internet.pdf por AnahisZambrano
Dominios de Internet.pdfDominios de Internet.pdf
Dominios de Internet.pdf
AnahisZambrano8 vistas

Iso 27001

  • 1. ISO 27001 La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre. Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y nos aporta mucha más información en relación a indicadores y como mapearlos a nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles de madurez propuestos para cada proceso. No olvidemos, de entre todas las metodologías, aquellas orientadas a asegurar la seguridad de la información, como requisito indispensable dentro de una organización que gestiona datos y por tanto debe asegurar su confidencialidad, integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la familia de la serie 27000, y por tanto el punto de referencia.
  • 2. El estándar ISO 27001 cubre de forma efectiva 11 secciones: • Política de Seguridad • Organización de la Seguridad de la Información • Gestión de Activos • Seguridad ligada a Recursos Humanos • Seguridad Física y del Entorno • Gestión de Comunicaciones y Operaciones • Control de Accesos • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información • Gestión de Incidentes de Seguridad de la Información • Gestión de la Continuidad de Negocio • Conformidad El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas . Cuáles son los beneficios • Algunas licitaciones internacionales empiezan a • solicitar una gestión ISO 27001. • Reducción de los costos vinculados a incidentes. • Posibilidad de disminución de las primas de seguro. • Mejora del conocimiento de los sistemas de información, • sus problemas y los medios de protección. • Mejora de la disponibilidad de los materiales y datos. • Protección de la información. ¿La norma ISO 27001 es aplicable a toda la industria? Sí, todas las organizaciones tienen el activo de la información y pueden beneficiarse de una puesta en práctica y certificación de un Sistema de Gestión de Seguridad de la Información. ¿La ISO 27001 afecta solo a IT? No, ISO 27001 cubre todos los aspectos de intercambio de información, desde datos de ordenador a conversaciones en áreas públicas, incluyendo los perímetros de seguridad y el nivel inicial de acceso del personal. v La norma le ayudará a asegurar la continuidad de su negocio en casi todas las circunstancias, como incendios, inundaciones, hackers, pérdida de datos, violación de confidencialidad y terrorismo. c v Una organización tiene la posibilidad de implantar una política de seguridad de la información que cubra toda clase de comunicación y almacenamiento de datos. La ISO 27001 es la espina dorsal de los datos y de su información.
  • 3. Por que es necesaria la seguridad de la informacion La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen importantes recursos para la empresa SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservación de las características de confidencialidad , integridad y disponibilidad. Principios de Seguridad Informática Confidencialidad Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. Factores de riesgo Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc. Factores tecnológicos de riesgo Virus informáticos: Definición Un virus informático es un programa (código) que se replica, añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
  • 4. Factores humanos de riesgo Hackers Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos: • Probar que tienen las competencias para invadir un sistema protegido. • Probar que la seguridad de un sistema tiene fallas. Mecanismos de Seguridad Informática Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático. Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan. Normas y Metodologías aplicables  Information Systems and Audit Control Association - ISACA: COBIT  British Standards Institute: BS  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sans Institute, Security Focus, etc  Sarbanes Oxley Act, Basilea II, HIPAA Act,  Leyes NACIONALES  OSSTMM, ISM3, ISO17799:2005, ISO27001  BS 25999  DRII