Iso 27001

6,702 views
6,554 views

Published on

Published in: Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,702
On SlideShare
0
From Embeds
0
Number of Embeds
30
Actions
Shares
0
Downloads
377
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Iso 27001

  1. 1. www.ascendiarc.com
  2. 2. VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA NORMA ISO / IEC 27001:2005 www.ascendiarc.com www.ascendiarc.com
  3. 3. ÍNDICE >INTRODUCCIÓN > SEGURIDAD DE LA INFORMACIÓN > OBJETIVOS DEL SGSI > ESTRUCTURA DE LA NORMA ISO 27001 > ESTRUCTURA DE LA NORMA ISO 27002 > FASES DE LA IMPLANTACIÓN DE UN SGSI www.ascendiarc.com
  4. 4. INTRODUCCIÓN ¿Qué es un Sistema de Gestión? SIMIL: ORQUESTA DE MÚSICA gestionar = dirigir ¿eficientemente? = ¿suena bien? conseguir los objetivos = alcanzar el éxito La orquesta suena bien si todos: Saben tocar bien Pueden tocar bien Quieren tocar bien Se alcanza el éxito www.ascendiarc.com
  5. 5. INTRODUCCIÓN La información es un activo vital para la continuidad y desarrollo de cualquier organización. Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial. ¿Qué es un Sistema de Gestión de la Seguridad de la Información? • Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc. • Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa. Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad. www.ascendiarc.com
  6. 6. ALCANCE DEL SGSI ¿Por qué escoger la norma ISO 27001:2005? De cara al exterior, mejora la imagen de rigor Único modelo internacionalmente reconocido para implantación de un SGSI Dotar al sistema de niveles aceptables de: Confidencialidad Integridad Disponibilidad www.ascendiarc.com
  7. 7. BENEFICIOS DEL SGSI Necesidad del implantación de un Sistema de Gestión Por la gran cantidad de datos generados Por la propia estructura organizativa del sistema (varios participantes) Por las ventajas derivadas de la ordenación y documentación de acciones y procesos Averías o cualquier imprevisto Cambios de personal Resultados tras la implantación Reducción de los riesgos a un nivel aceptable Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información Cumplir con las leyes y reglamentaciones previstas www.ascendiarc.com
  8. 8. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA Establece medidas encaminadas a proteger hardware, software y comunicaciones de los equipos informáticos. NO GESTIONA. Controla los aspectos: > físicos (instalaciones) > telecomunicaciones (protocolos seguros, encriptación, cortafuegos) > de acceso al sistema > copias de respaldo y recuperación > etc. www.ascendiarc.com
  9. 9. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Establece medidas encaminadas a proteger la información, independientemente del soporte en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera causar y maximizar el rendimiento del capital invertido. Se caracteriza por preservar las tres propiedades de la información: > CONFIDENCIALIDAD > INTEGRIDAD > DISPONIBILIDAD www.ascendiarc.com
  10. 10. DOMINIOS DE LA INFORMACIÓN CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso. DISPONIBILIDAD: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD: Garantizar la exactitud y completitud de la información y los métodos de su proceso. www.ascendiarc.com
  11. 11. OBJETO DE LAS ISO 27001 Y 27002 Tienen por objeto “proporcionar una base común para la elaboración de las normas de seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas”. El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura. La seguridad completa no existe a menos de una inactividad total. www.ascendiarc.com
  12. 12. ISO 27001: ESTRUCTURA 1. OBJETO Y CAMPO DE APLICACIÓN ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI. El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información. 2. REFERENCIAS NORMATIVAS Es indispensable la utilización de la norma ISO / IEC 27002:2007 3. TÉRMINOS Y DEFINICIONES www.ascendiarc.com
  13. 13. ISO 27001: ESTRUCTURA 4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario. El proceso utilizado se basa en el ciclo PDCA. REQUISITOS GENERALES.- obligación de creación de un sistema de gestión documentado con los procedimientos clave de la organización y los riesgos a que se enfrentan. ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la organización para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es derivada de decisiones de la Dirección; los resultados registrados deben ser reproducibles. www.ascendiarc.com
  14. 14. ISO 27001: ESTRUCTURA 5. RESPONSABILIDAD DE LA DIRECCIÓN Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total. 6. AUDITORÍAS INTERNAS La organización realizará auditorías a intervalos planificados. 7. REVISIÓN DEL SGSI POR LA DIRECCIÓN Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo. 8. MEJORA DEL SGSI La organización mejora continuamente la efectividad. ANEXO A Objetivos de control y controles => ISO 27002:2007 www.ascendiarc.com
  15. 15. ISO 27002 Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la SEGURIDAD DE LA INFORMACIÓN. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación. www.ascendiarc.com
  16. 16. ISO 27002: ESTRUCTURA Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES Se estructura en: > 11 dominios. > 39 objetivos de control -> resultados que se espera alcanzar mediante la implementación de los controles. > 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. www.ascendiarc.com
  17. 17. ISO 27002: ESTRUCTURA A.5 POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información > La Dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la organización. > La política se constituye en la base de todo el sistema de gestión de la seguridad de la información. > La Dirección debe apoyar visiblemente la seguridad de la información en la compañía. www.ascendiarc.com
  18. 18. ISO 27002: ESTRUCTURA A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros > Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. > Identificar los riesgos que están relacionados con terceros. > Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. www.ascendiarc.com
  19. 19. ISO 27002: ESTRUCTURA A.7 GESTIÓN DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. > Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. www.ascendiarc.com
  20. 20. ISO 27002: ESTRUCTURA A.8 SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. > Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la terminación o cambio de empleo. > Las implicaciones del factor humano en la seguridad de la información son muy elevadas. > Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. > Diferentes relaciones con los sistemas de información: operador, guardia de seguridad, personal de servicios, etc. > Procesos de notificación de incidencias claros, ágiles y conocidos por todos. www.ascendiarc.com
  21. 21. ISO 27002: ESTRUCTURA A.9 SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. > Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio, etc.). www.ascendiarc.com
  22. 22. ISO 27002: ESTRUCTURA A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información. Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros. Proteger la integridad del software y de la información. Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información. Asegurar la protección de la información en las redes y protección de la infraestructura de soporte. Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero. Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. Detectar las actividades de procesamiento de la información no autorizadas. www.ascendiarc.com
  23. 23. ISO 27002: ESTRUCTURA A.11 CONTROL DE ACCESO Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Evitar acceso no autorizados a información contenida en las aplicaciones. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. > Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. www.ascendiarc.com
  24. 24. ISO 27002: ESTRUCTURA A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Garantizar que la seguridad está integrada en los sistemas de información. Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones. Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos. Garantizar la seguridad en los archivos del sistema. Mantener la seguridad del software y de la información de las aplicaciones. Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. > Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento, etc. www.ascendiarc.com
  25. 25. ISO 27002: ESTRUCTURA A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal manera que se tomen las acciones correctivas oportunamente. Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad. > Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea posible. > Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes. > Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de prueba establecidas con la legislación pertinente en acciones de seguimiento contra una persona u organización. www.ascendiarc.com
  26. 26. ISO 27002: ESTRUCTURA A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos críticos de fallos o desastres mayores y asegurar su oportuna reanudación. > Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en toda la organización. > Deben identificarse los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad e impacto de tales interrupciones. > Sólo debe existir un marco de plan de continuidad de negocios para asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos y prevén criticar prioridades. > Los planes deberán probarse y actualizarse regularmente. www.ascendiarc.com
  27. 27. ISO 27002: ESTRUCTURA A.15 CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas > Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos, integrándola en el sistema de gestión de seguridad de la información de la entidad y garantizando su cumplimiento. >Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. www.ascendiarc.com
  28. 28. IMPLANTACIÓN DE UN SGSI BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI > Competitividad > Confianza de terceros > Cumplimiento legal > Mejora de la Imagen > Reducción de riesgos > Demostración del uso de prácticas apropiadas : · empresas y organizaciones · cliente final · auditores · tribunales www.ascendiarc.com
  29. 29. gracias por su atención www.ascendiarc.com www.ascendiarc.com

×