Your SlideShare is downloading. ×
0
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Gestión de la Seguridad con la ISO/IEC 27001

4,684

Published on

Completo documento sobre la gestión de la ISO/IEC 27001. Se incluyen las novedades de la ISO/IEC 27001:2013.

Completo documento sobre la gestión de la ISO/IEC 27001. Se incluyen las novedades de la ISO/IEC 27001:2013.

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,684
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
383
Comments
0
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Gestión de la seguridad: ISO/IEC 27001 Ramiro Cid | @ramirocid 1
  • 2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 2 Índice 1. Historia de la norma y antecedentes Pág. 3 2. Marco de referencia y bases de la norma Pág. 9 3. Dominios de la norma Pág. 18 4. Criterios para el éxito Pág. 32 5. Novedades de la ISO/IEC 27001:2013 Pág. 46
  • 3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 1. Historia de la norma y antecedentes
  • 4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Breves Referencias sobre las normativas ISO/IEC 27001 e ISO/IEC 27002 British Standard BS 7799-2 (origen de las ISO actuales) Publicada por primera vez en 1998 Normativa británica Se divide en 1: Buenas prácticas y 2: Especificaciones Casi no se utiliza, ha sido reemplazada por la ISO/IEC 27001 y 27002 ISO/IEC 27001:2005 “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información” . Es una lista completa de los controles a aplicar. Se certifica en esta ISO. Emula la BS 7799 parte 2, pero con 2 nuevos conceptos: a) Indicadores: Es una medida que provee una estimación o evaluación de un “atributo” (que es a su vez una propiedad o característica de un objeto, tangible o intangible) especificado, con respecto a las necesidades de información definidas. Ej: No tener más de 10 infecciones por virus sobre el total de PC’s b) Métricas: En la ISO/IEC 27001 en el apartado 4.2.2 d) se comenta la necesidad de disponer de métricas de la efectividad, pero no especifica cuales utilizar => En el borrador de la ISO/IEC 27004 se encuentran más pautas. Ej: Se ha tenido en un año 11 infecciones por virus sobre el total de PC’s. ISO/IEC 27002 (actualización año 2007 de la 17799:2005) “Código o guía de buenas prácticas para la gestión de la seguridad de la información” . No se certifica en esta ISO
  • 5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 BSi: Historia 1901-. Nacimiento del BSi. 1910-. Creación del primer estándar. 1926-. Inicio del proceso de certificación de productos. 1946.- Creación de la ISO por parte de miembros del Bsi 1979-. Primer estándar para sistemas de gerencia (BS 5750) 1992-. Primer estándar sobre el medio ambiente. 1999-. Elaboración del estándar sobre seguridad de la información (BS 7799).
  • 6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 BSi: Historia (II) Desarrollo del Estándar BS 7799: 1993 Reuniones de un grupo multi-sectorial. Primer borrador de “Código de Prácticas”. 1995 Publicación Oficial BS 7799:1 Código de buenas prácticas. 1998 Publicación Oficial BS 7799:2 Especificaciones SGSI. 1999 Publicación Oficial BS 7799:1999 Parte 1 y 2 2002 Publicación de nueva versión BS 7799:2
  • 7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Desarrollo del Estándar ISO/IEC 27002: 2000 ISO/IEC 17799:2000 Código de buenas prácticas 2002 UNE ISO/IEC 17799 Código de buenas prácticas 2004 UNE 71502 Especificaciones SGSI 2005 ISO 17799: 2005. Código de buenas prácticas 2005 ISO/IEC 27001 Especificaciones SGSI 2007 ISO/IEC 17799 ISO/IEC 27002 2013 ISO/IEC 27001:2013. Borrador final en 07/2013. Norma a fines de 2013. Esta versión tendrá 114 controles en 14 dominios (en Ia actual versión son 133 controles en 11 dominios). ISO/IEC 27002: Historia
  • 8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Gráfico de la historia de las normas ISO
  • 9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 2. Marco de referencia y bases de la norma
  • 10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO – Marco de Referencia SGSI (Sistema de Gestión de la Seguridad de la Información) Incorporación de la sistemática PLAN-DO-CHECK-ACT (PDCA o “Círculo de Deming”) a la seguridad de la información. PLAN ACT CHECK DO Planificación Documentar / Hacer Comprobar / Analizar Actuar
  • 11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO: Organización Servicios: Desarrollo e implementación de estándares. Sistema de asesoramiento a empresas. Pruebas de productos. Certificación de productos. Inspección de productos y materiales. Formación a través de cursos y seminarios.
  • 12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Seguridad de la Información Declaración de principios: “La información es un activo, y como cualquier otro activo importante de un negocio, tiene un valor para una empresa, y por consiguiente debe ser adecuadamente protegido” (Introducción ISO/IEC 27002) SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27002:2005 = Código de Buenas Prácticas
  • 13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27001:2005 & ISO/IEC 27002:2005 Dos partes: ISO/IEC 27002.- Code of practice for information ISO/IEC 27001.- Specification for information security management systems
  • 14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27001 Basada en la parte 2 del estándar BS 7799 Especifica los requerimientos para establecer, implementar y documentar los sistemas de gestión de la seguridad de la información Indica los controles de seguridad a implementar por las organizaciones dependiendo de sus necesidades Es certificable
  • 15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27002 Basada en la parte 1 del estándar BS 7799 Intenta ser un documento de referencia Conjunto de controles sobre las mejores prácticas para la seguridad de la información No es certificable
  • 16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27002:2005 - SGSI Como resultado de la implantación de esta normativa se obtiene un Sistema de Gestión de la Seguridad de la Información (SGSI): Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidas Procesos y recursos necesarios para lograr los objetivos Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistema Un proceso de revisión para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando están justificadas
  • 17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27002:2005 Modelo PDCA (Plan, Do, Check, Act) PLANIFICAR HACER VERIFICARACTUAR ACTUAR ACTUAR Ciclo de resolución Ciclo de mantenimiento Ciclo de mejora Todo correcto Incidentes Ideas/ mejoras
  • 18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 3. Dominios de la norma
  • 19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ISO/IEC 27002:2005 11.- Continuidad 12.- Conformidad 2.- Política 3.- Organización 4.- Activos 5.- RR.HH. 6.- Seguridad 7.- Comunicaciones física y operaciones 8.- Control de acceso 9.- Desarrollo y mantenimiento 1.- Análisis de Riesgos 10.- Incidentes
  • 20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Visión Global de una Auditoría ESTRUCTURAL OPERACIONAL Política de Seguridad Estructura Organizativa de la Seguridad Conformidad Seguridad Física y medioambiental Gestión de la Continuidad del Negocio Control de Acceso Desarrollo y Mantenimiento de los Sistemas Gestión de Comunicaciones y operaciones Gestión de Incidentes de Seguridad Seguridad ligada al Personal Aspecto organizativo Aspecto técnico Aspecto físico Tipos de dominios Cumplimento Bajo Cumplimiento Medio Resultado de Auditoria en EMPRESA X Clasificación y Control de Activos Cumplimiento Alto Análisis de Riesgos 11 dominios + Análisis de Riesgos
  • 21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Política de Seguridad Objetivo: Aportar las directrices y el soporte para la seguridad de la información de acuerdo con los requerimientos de la organización, y con la legislación vigente Aspectos destacados: Personalizada para cada organización Capaz de soportar pequeños cambios en la organización Apoyo explícito de la dirección Distribuida Actualizada
  • 22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Organización de la seguridad Objetivo: Definir la estructura de la seguridad de la información dentro de la organización, así como asegurar el nivel de seguridad de la información para las situaciones en las que terceras organizaciones accedan a la información Aspectos destacados: Estructura referente a la seguridad (comités de seguridad) Seguridad con terceras organizaciones
  • 23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Gestión de activos Objetivo: Mantener el nivel apropiado de seguridad en los activos de la organización Aspectos destacados: Inventario de activos Propietario de los activos Clasificación de los activos Manejo de los activos
  • 24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Tratar de asegurar que durante todo el ciclo de vida de los trabajadores de la organización, se trata de minimizar los riesgos que puedan provocar éstos Aspectos destacados: Antes de entrar a trabajar (términos de empleo) Durante la realización del trabajo (formación, proceso disciplinario) Finalización de la actividad laboral (retorno de los activos, derechos de acceso) Seguridad del personal
  • 25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Prevenir accesos no autorizados, daños o interferencias en la organización o en los servicios de la misma Aspectos destacados: Áreas seguras (controles de entrada) Protección contra incidentes ambientales Protección de los equipos Seguridad del cableado Eliminación de equipos Seguridad física
  • 26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Asegurar la correcta realización de las operaciones de la organización así como las comunicaciones que se realicen Aspectos destacados: Procedimientos operacionales Segregación de entornos Cambios en los sistemas (planificación de capacidades) Protección contra software malicioso Copias de seguridad Gestión de la red Dispositivos móviles Intercambio de información (correo electrónico, comercio electrónico, correo ordinario, etc.) Monitorización (gestión de logs) Comunicaciones y operaciones
  • 27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Controla el acceso a la información de la organización así como los permisos de los usuarios Aspectos destacados: Política de control de acceso Gestión de usuarios (identificadores, privilegios, gestión de contraseñas) Control de acceso a los servicios de red (enrutado, protección de puertos, segregación de redes, etc.) Controles de acceso a diferentes niveles (sistema operativo, aplicación, información) Teletrabajo Control de acceso
  • 28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: asegurar la seguridad de las aplicaciones, prevenir errores, pérdidas, modificaciones de las mismas así como de las informaciones que contienen Aspectos destacados: Análisis de requerimientos de seguridad Control del procesado de la información Controles criptográficos Control en el cambio de aplicaciones Análisis de vulnerabilidades Adquisición, desarrollo y mantenimiento
  • 29. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Tratar de asegurar la seguridad y tratar de minimizar el tiempo de respuesta ante los incidentes de seguridad. Aspectos destacados: Comunicación de incidentes Resolución de incidentes Aprender de los incidentes Recogida de evidencias Mejoras Gestión de incidentes
  • 30. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivos: Tratar de evitar interrupciones en los servicios de la organización o minimizar el tiempo de recuperación Aspectos destacados: Gestión de continuidad de negocio
  • 31. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Objetivo: Evitar incumplimientos legales, contractuales y con las normativas Aspectos destacados: Propiedad intelectual Protección de evidencias Protección de datos Auditorias de sistema Auditorias del sistema de gestión de la seguridad de la información Cumplimiento legal
  • 32. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 4. Criterios para el éxito
  • 33. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ¿Por dónde empezar? Implementar controles básicos • Legales • LOPD • Propiedad intelectual • Proteger la información empresarial exigible y crítica • Comunes • Política de seguridad. • Responsabilidades de seguridad de la información. • Comunicación y formación. • Reporte de incidentes. • Planes de contingencia
  • 34. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Factores de éxito Una “seguridad” (política, objetivos, actividades) orientada al negocio. Implementar la seguridad en consonancia con la cultura de la empresa. Soporte visible y compromiso de la dirección. Buen entendimiento de los requerimientos y buena gestión de los riesgos. Comunicación eficaz a todos los niveles de la organización. Proveer educación y formación Tener un sistema de medición para evaluar el rendimiento de la gestión de la seguridad, así como obtener sugerencias de mejora
  • 35. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Enfoque para una seguridad Pro-Activa Implementar un SGSI Especificaciones del ISO/IEC 27001 12 dominios, 39 objetivos, 133 controles Razones para un SGSI: Externas: Mejorar la confianza con Clientes, Proveedores y Partners (imagen corporativa) Asegurar la conformidad con la legislación y contratos Internas: Reducir impacto de los incidentes Facilitar la mejora continua Consistencia
  • 36. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Etapas a seguir Situación Actual 1.- Análisis Diferencial 2.- Definir SGSI 3.-Implementar SGSI Evaluaciones Auditar Auditar SGSICertificación 4.- Revisiones Plan Do Check
  • 37. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Activos Amenazas Vulnerabilidades Impactos Controles ISO/IEC 27001 Etapas a seguir 2.- Definir SGSI Definir Política Alcance ISMS Análisis Riesgo Manejo Riesgo Selección controles Aplicabilidad Política Inventario Evaluación Opciones Controles Declaración
  • 38. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 4. Conceptos y componentes relacionados
  • 39. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Política de seguridad Es un documento Aprobado por la dirección, publicado y comunicado Revisado periódicamente Como mínimo: Definición de la seguridad de la información Declaración del soporte de la dirección Explicaciones breves sobre políticas, principios, prácticas y cumplimiento de seguridad Definición de responsabilidades Referencias a otros documentos
  • 40. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Alcance del SGSI Identificar los activos de Información del SGSI Organización, localización, activos y tecnología Categorización, descripción, localización y responsable de los activos Categoría de Activos de Información: Información: BD, ficheros, documentación, manuales, contratos, etc... Tipo soporte: papel, electrónica SW: Aplicaciones, S.O., herramientas de desarrollo, utilidades,... Físicos: Ordenadores, Equipos de comunicación (routers, hubs, ...), Soportes Servicios: Tratamientos externos, energía, telefonía,... Personas: Conocimientos, experiencia Intangibles
  • 41. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Análisis del riesgo Identificar los riesgos de los Activos de Información las amenazas a los activos sus vulnerabilidades el impacto en la organización su probabilidad el nivel de riesgo Riesgo de seguridad Un riesgo de seguridad es la posibilidad que una amenaza dada aproveche una vulnerabilidad para dañar uno o un grupo de activo de información, pudiendo extenderse a toda la organización
  • 42. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Plan Director de Seguridad Análisis de Riesgo (Problemas encontrados) [A.R.] Gestión de Riesgos (Propongo soluciones) [G.R.] [A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
  • 43. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Administración del riesgo Gestionar los riesgos identificados: Decidir sobre la forma de manejar el riesgo Identificar y aceptar el riesgo “residual” Forma de gestionar el riesgo: Evitar: Suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad Transferir: Cambiar un riesgo por otro: Outsourcing, seguros. Reducir: Reducir la amenaza, vulnerabilidad, impacto Asumir: (statu quo) Detectar y recuperarse
  • 44. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Selección de controles Asegurar que la aplicación de los controles cumplen: Haber identificado los requerimientos de Seguridad Seleccionar los objetivos y los controles Asegurar el cumplimiento de los requerimientos Factores y restricciones de aplicabilidad: Coste del control versus coste del impacto Disponibilidad del control (tecnología existente y probada) Implementación y mantenimiento Controles existentes y planificación
  • 45. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Declaración de aplicabilidad Declarar sobre la aplicabilidad de los controles de seguridad: Documentar los resultados finales del marco del SGSI Aplica a la Normativa ISO/IEC 27001 con: 12 dominios, 39 objetivos, 133 controles Incluir otros controles propios o especificaciones Debe incluir: Para los controles seleccionados: Los objetivos de los controles (requerimientos) La descripción de los controles (y las medidas) Para los controles NO seleccionados La razón de su exclusión
  • 46. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 5. Novedades de la ISO/IEC 27001:2013
  • 47. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Novedades de la ISO/IEC 27001:2013 Referencias: ISO/IEC 27001:2013. Borrador final: Publicado en 07/2013. Norma definitiva: Se espera la publicación a final de 2013.
  • 48. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Novedades de la ISO/IEC 27001:2013 Principales cambios respecto a la norma anterior: • La ISO/IEC 27001:2013 tendrá 114 controles en 14 dominios (la versión actual posee 133 controles en 11 dominios). • 11 nuevos controles: • A.6.1.5 Information security in project management • A.12.6.2 Restrictions on software installation • A.14.2.1 Secure development policy • A.14.2.5 Secure system engineering principles • A.14.2.6 Secure development environment • A.14.2.8 System security testing • A.15.1.1 Information security policy for supplier relationships • A.15.1.3 Information and communication technology supply chain • A.16.1.4 Assessment of and decision on information security events • A.16.1.5 Response to information security incidents • A.17.2.1 Availability of information processing facilities
  • 49. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Novedades de la ISO/IEC 27001:2013 Principales cambios respecto a la norma anterior: • 14 dominios en vez de 11. Los nuevos 14 dominios de control serán: • A.5: Information security policies • A.6: How information security is organised • A.7: Human resources security - controls that are applied before, during, or after employment. • A.8: Asset management • A.9: Access controls and managing user access • A.10: Cryptographic technology • A.11: Physical security of the organisation's sites and equipment • A.12: Operational security • A.13: Secure communications and data transfer • A.14: Secure acquisition, development, and support of information systems • A.15: Security for suppliers and third parties • A.16: Incident management • A.17: Business continuity/disaster recovery (to the extent that it affects information security) • A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws
  • 50. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Novedades de la ISO/IEC 27001:2013 Tabla comparativa de dominios entre las 2 versiones: ISO/IEC 27001:2005 ISO/IEC 27001:2013 A.5 -Security policy A.5: Information security policies A.6 -Organization ofinformation security A.6: How information security is organised A.8 -Human resources security A.7: Human resources security -controls that are applied before, during, or after employment. A.7 -Asset management A.8: Asset management A.11 - Access control A.9: Access controls and managing user access A.10: Cryptographic technology A.9 -Physical and environmental security A.11: Physical security ofthe organisation's sites and equipment A.12: Operational security A.10 -Communications and operations management A.13: Secure communications and data transfer A.12 -Information systems acquisition, development and maintenance A.14: Secure acquisition, development, and support ofinformation systems A.15: Security for suppliers and third parties A.13 -Information security incident management A.16: Incident management A.14 -Business continuity management A.17: Business continuity/disaster recovery (to the extent that it affects information security) A.15 -Compliance A.18: Compliance -with internal requirements, such as policies, and with external requirements, such as laws
  • 51. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 Referencias Documentación para ampliar conocimientos: BSI: 1. Web oficial de la BSI Group: http://www.bsigroup.com/ ISO: 1. Web oficial de la ISO: http://www.iso.org/ 2. ISO/IEC 27001:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103 3. ISO/IEC 27002:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297 4. Wikipedia (Español) (ISO/IEC 27001:2005): http://es.wikipedia.org/wiki/ISO/IEC_27001 5. Wikipedia (Inglés) (ISO/IEC 27001:2005): http://en.wikipedia.org/wiki/ISO/IEC_27001:2005
  • 52. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Gestión de la seguridad: ISO/IEC 27001 ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

×