Your SlideShare is downloading. ×
Cap.11.ISO27001
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Cap.11.ISO27001

479
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
479
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. FACULTAD DE ADMINISTRACION EE: ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN ALUMNO: CARRIÓN MENDIOLA ALINA LETICIA MONTALVO SACRAMENTO AMAYRANI S. PRIETO SANTOS ANA KAREN SISTEMAS COMPUTACIONALES ADMINISTRATIVOS NORMA ISO 27001 25 OCTUBRE DEL 2010
  • 2. NORMA, “especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al publico, tanto durante su elaboración, pues se producen en órganos de trabajos abiertos a la industria…” Primera version de ISO/IEC 17799 “Tecnologia de la Informacion. Codigo de buenas practicas de la gestion de la seguridad de la Informacion”, 2000.
  • 3. Durante el tiempo de esta norma coexistieron también la norma inglesa BS7799-2 que tomo como origen de su parte 1 la norma ISO/IEC, así como la norma española UNE 71502 “Especificaciones de los Sistemas de Gestión de la Seguridad de la Información” 2004. Estas normas han sido los referentes para las certificaciones de SGSI y su uso ha puesto de manifiesto el comienzo de preocupación y concienciación de la proteccion de la información. Enmarca las normas aplicables a la gestión de los sistemas de seguridad de la información y ofrece una serie de normas que abarquen diversos aspectos de la seguridad de los sistemas.
  • 4. MERCADO • Favorecer su desarrollo • Afianza la posición de la organización • Potencia la imagen de marca • Constituye un factor competitivo respecto a la competencia • Permite superar barreras técnicas CLIENTES • Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas • Se mejora la comunicación con el cliente • Mayor confianza al cliente • Aumento de la satisfacción del cliente GESTIÓN DE LA ORGANIZACIÓN • Conocimiento y depuración de los procesos internos • Mejora de los procesos y servicios prestados • Ahorro de tiempo y recursos necesarios • Mejor gestión de los recursos • Estímulo para entrar en un proceso de mejora continúa
  • 5. Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos del negocio de la organización. La adopción de un SGSI deberá constituir una decisión estratégica para la organización. Su diseño e implantación en una organización depende de sus necesidades y objetivos, de sus requisitos de seguridad, de los procesos y del tamaño y estructura de la organización.
  • 6. Para poder estructurar los procesos de SGSI esta norma adopta el modelo PDCA. Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles Revisar internamente el SGSI Realizar auditorias internas del SGSI Adoptar las acciones correctivas Adoptar las acciones preventivas Definir política de seguridad Establecer el alcance del SGSI Realizar análisis de riesgos Seleccionar los controles ISO/IEC 17799:2005 P D CA
  • 7. ALCANCE DEL SISTEMA DE GESTIÓN A que partes de la organización aplica. Con sus límites físicos y lógicos. POLÍTICA DEL SGSI Marco para el establecimiento de los objetivos y los principios para proteger la información. METODOLOGÍA PARA LA VALIDACIÓN DEL RIESGO Actividades relacionadas con los riesgos a los que se someta la información. Con resultados medibles y comparables. IDENTIFICACIÓN DE LOS RIESGOS A activo, amenazas, vulnerabilidad, impacto se refiere, para la posterior elaboración de: * Análisis y valoración de dichos riesgos * Como tratar estos riesgos * Selección de controles
  • 8. En este punto se requiere un PLAN DE TRATAMIENTO DE RIESGO. Cuando este plan se encuentre implantado, una labor importante es poder medir la eficacia de dichos controles y obtener de estos resultados comparables y reproducibles. Creación de programas de formación y concienciación en todas las acciones para el personal de la organización. Posibilitando la cultura de seguridad en las actividades cotidianas del trabajador.
  • 9. Al cerrar la empresa con las fases anteriores, se dice que ya cumple con un núcleo del SGSI, pero obtendrá beneficios después de implantar una serie de procedimientos para el control y la revisión de lo realizado. Se realizan revisiones regulares sobre eficacia de SGSI, partiendo de resultados de las auditorias de seguridad y de las mediciones de los requisitos de seguridad. De lo anterior se descubren defectos y mejoras del SGSI, tomando medidas correctivas y preventivas.