Your SlideShare is downloading. ×
0
ISO 27001            SISTEMAS DE GESTIÓN DE LA                 SEGURIDAD DE LA                   INFORMACIÓN              ...
Qué es Información?    ISO 27001             Es un conjunto de datos acerca de algún suceso,             hecho, fenómeno ...
La Información en las EmpresasISO 27001     Dentro de una Empresa, la información es     considerada un Activo (un recurso...
La Información en las Empresas       Estos activos pueden ser clasificados de la siguienteISO 27001       forma:   •   Act...
Qué es seguridad de laISO 27001                       Información?     La seguridad de información se caracteriza por la  ...
Identificación de Amenazas                                 Tipos de AmenazasISO 27001                      Am             ...
Vulnerabilidades                         Tipos de VulnerabilidadesISO 27001                                         Contro...
ISO 27001            Seguridad de la Información                       SGSI
¿Seguridad de la Información ?    • La información es un activo que como otros activosISO 27001      importantes tiene val...
Gestión Seguridad InformaciónISO 27001            ISO-27001:2005. Modelo Preventivo      • “La información es un activo qu...
Gestión Seguridad Información    ISO 27001                ISO-27001:2005. Modelo Preventivo                       4       ...
Gestión Seguridad Información           ISO-27001:2005. Modelo Preventivo    ISO 27001                    4Requerimientos ...
Gestión Seguridad Información       ISO-27001:2005. Modelo PreventivoISO 27001      • Planificar.            • Definir el ...
Gestión Seguridad Información       ISO-27001:2005. Modelo PreventivoISO 27001     • Planificar.        • Identificar y ev...
Gestión Seguridad Información    ISO 27001                ISO-27001:2005. Modelo Preventivo                       4       ...
Gestión Seguridad InformaciónISO 27001            ISO-27001:2005. Modelo Preventivo      • Hacer.            • Plan de tra...
Gestión Seguridad Información                ISO-27001:2005. Modelo Preventivo    ISO 27001                       4       ...
Gestión Seguridad Información            ISO-27001:2005. Modelo PreventivoISO 27001      • Revisar.            • Procedimi...
Gestión Seguridad InformaciónISO 27001            ISO-27001:2005. Modelo Preventivo      • Revisar.            • Medición ...
Gestión Seguridad Información    ISO 27001                ISO-27001:2005. Modelo Preventivo                               ...
Gestión Seguridad Información            ISO-27001:2005. Modelo PreventivoISO 27001      • Actuar.            • Implementa...
ISO 27001            Seguridad de la Información                       SGSI
Mantenimiento y mejora del SGSI (Act)     • Tomar acciones correctivas y preventivas, basadas en losISO 27001       result...
Estructura de la Documentación Requerida                          Enfoque de la Gerencia                                  ...
Factores Claves de Éxito en la        Implementación de un SGSIISO 27001       • Política de seguridad documentada y      ...
Conclusiones       • Hoy en día las organizacionesISO 27001         dependen en gran medida de su         tecnología y sus...
ConclusionesISO 27001      • Nada es estático, la seguridad no es la        excepción. Mejora continua.      • Seguridad t...
Preguntas y RespuestasISO 27001
Upcoming SlideShare
Loading in...5
×

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

546

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
546
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
47
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
  • While past attacks were designed to destroy data, the attacks are increasingly designed to steal data without doing noticeable damage that would alert a user to the virus’ presence. Symantec cautioned that the malicious code for profit was on the rise. (Symantec annual Internet Security Threat Report)
  • Information security: to prevent damage to something of value a thing that guards or guarantees includes protection of information with the following aspects: 1. Confidentiality - users only have access to information to which they are authorised. 2. Integrity - protection against unauthorised changes or damage; i. e. safeguarding the accuracy and completeness of the information. 3. Availability - information is available, in the correct context, when required by authorised users. Summary: ISMS breaks into three areas - Confidentiality, Integrity and Availability High Confidentiallity will normally give low Availability and vice versa. Integrity (as per definition): the condition of being whole and undamaged
  • 3 main sources of security requirements in any organisation: 1. Security risks; that is, threats to assets, vulnerabilities and potential impact on the business of the organisation. Many risks can be effectively countered by using the guidance in the document “BS7799 : 1999, part 1”. A risk assessment can identify the controls that should be selected and implemented to achieve suitable protection. Investigations have found that 80% of all breaches to security in a company come from authorised people doing wrong things. 2. Legal and contractual requirements that an organisation, its trading partners, contractors and service providers have to satisfy. As demands for inter-organisational networking and interoperability increase there is a requirement for compliance with standards. “BS7799 : 1999, part 1”, serves as a consistent reference point. 3. Internal Principles, objectives and requirements for information processing to support business operations. It is important for competitive edge, that the organisation’s information security policy supports these requirements. It is also vital that efficient business operations are not impeded by lack of security because of missing controls in the information infrastructure, or by interruptions caused by the implementation of controls. Incorporation of the right controls and the required degree of flexibility from the start of the information security planning process is critical to the successful outcome of the work.
  • Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
  • Transcript of "SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN"

    1. 1. ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos
    2. 2. Qué es Información? ISO 27001 Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo.  Information existe en diferentes formatos: − Capital Humano − Impresa o escrita en papel − Dispositivos de almacenamiento (Discos, CDs, etc…) − Oral (teléfono, móvil, etc.) − Video, fotos
    3. 3. La Información en las EmpresasISO 27001 Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
    4. 4. La Información en las Empresas Estos activos pueden ser clasificados de la siguienteISO 27001 forma: • Activos de Información (datos, manuales de usuario, etc.) • Documentos en Papel (contratos) • Activos de software (aplicación, software de sistema, etc.) • Activos físicos (computadores, medios magnéticos, etc.) • Personal (clientes, trabajadores) • Imagen y reputación de la organización • Servicios (comunicaciones, etc.)
    5. 5. Qué es seguridad de laISO 27001 Información? La seguridad de información se caracteriza por la preservación de: Confidencialidad Integridad Disponibilidad de la información
    6. 6. Identificación de Amenazas Tipos de AmenazasISO 27001 Am cio as les ra az H en na um a pe en an zas O Am as Amenazas a Amenazas Instalaciones Sociales Am óg s Na en ol za s tu aza ica cn ena ra s l es Te Am
    7. 7. Vulnerabilidades Tipos de VulnerabilidadesISO 27001 Control de Acceso Seguridad de los Seguridad física y recursos humanos ambiental Ge st y c i ón ac Sis o, n de r m e nt om op ió t . fo o d ie un era in oll nim i ca c i o rr te ció ne sa n n s de Ma
    8. 8. ISO 27001 Seguridad de la Información SGSI
    9. 9. ¿Seguridad de la Información ? • La información es un activo que como otros activosISO 27001 importantes tiene valor y requiere en consecuencia una protección adecuada. • La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. • Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
    10. 10. Gestión Seguridad InformaciónISO 27001 ISO-27001:2005. Modelo Preventivo • “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. • “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
    11. 11. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1Requerimientos Actuar Planificar Seguridad dey Expectativas Informaciónde la Seguridad Administradade Información 3 2 Revisar Hacer
    12. 12. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4Requerimientos Actuar Seguridad dey Expectativas 1 Informaciónde la Seguridad Planificar Administradade Información 3 2 Revisar Hacer
    13. 13. Gestión Seguridad Información ISO-27001:2005. Modelo PreventivoISO 27001 • Planificar. • Definir el enfoque de evaluación del riesgo de la organización. • Establecer metodología de cálculo del riesgo. • Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. • Identificar los riesgos asociados al alcance establecido. • Analizar y evaluar los riesgos encontrados.
    14. 14. Gestión Seguridad Información ISO-27001:2005. Modelo PreventivoISO 27001 • Planificar. • Identificar y evaluar las opciones de tratamiento de los riesgos. • Aplicar controles. • Aceptarlo de acuerdo a los criterios de aceptación. • Evitarlo. • Transferirlo. • Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. • Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. • Preparar el Enunciado de Aplicabilidad.
    15. 15. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1Requerimientos Actuar Planificar Seguridad dey Expectativas 2 Informaciónde la Seguridad Hacer Administradade Información 3 Revisar
    16. 16. Gestión Seguridad InformaciónISO 27001 ISO-27001:2005. Modelo Preventivo • Hacer. • Plan de tratamiento del riesgo. • Implementar el plan de tratamiento del riesgo. • Implementar controles seleccionados. • Definir la medición de la efectividad de los controles a través de indicadores de gestión. • Implementar programas de capacitación. • Manejar las operaciones y recursos del SGSI. • Implementar procedimientos de detección y respuesta a incidentes de seguridad.
    17. 17. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4 1Requerimientos Actuar Planificar Seguridad dey Expectativas 3 Informaciónde la Seguridad Revisar Administradade Información 2 Hacer
    18. 18. Gestión Seguridad Información ISO-27001:2005. Modelo PreventivoISO 27001 • Revisar. • Procedimientos de monitoreo y revisión para: • Detectar oportunamente los errores. • Identificar los incidentes y violaciones de seguridad. • Determinar la eficacia del SGSI. • Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. • Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. • Realizar revisiones periódicas.
    19. 19. Gestión Seguridad InformaciónISO 27001 ISO-27001:2005. Modelo Preventivo • Revisar. • Medición de la efectividad de los controles. • Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. • Realizar auditorías internas al SGSI. • Realizar revisiones gerenciales. • Actualizar los planes de seguridad a partir de resultados del monitoreo. • Registrar las acciones y eventos con impacto sobre el SGSI.
    20. 20. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 1Requerimientos Planificar Seguridad dey Expectativas 4 Informaciónde la Seguridad Actuar Administradade Información 3 2 Revisar Hacer
    21. 21. Gestión Seguridad Información ISO-27001:2005. Modelo PreventivoISO 27001 • Actuar. • Implementar las mejoras identificadas en el SGSI. • Aplicar acciones correctivas y preventivas de seguridad al SGSI. • Comunicar los resultados y acciones a las partes interesadas. • Asegurar que las mejoras logren sus objetivos señalados.
    22. 22. ISO 27001 Seguridad de la Información SGSI
    23. 23. Mantenimiento y mejora del SGSI (Act) • Tomar acciones correctivas y preventivas, basadas en losISO 27001 resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. • Medir el desempeño del SGSI. • Identificar mejoras en el SGSI a fin de implementarlas. • Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). • Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. • Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
    24. 24. Estructura de la Documentación Requerida Enfoque de la Gerencia Manual de Política, Alcance,ISO 27001 Nivel I Evaluación Riesgo Seguridad Descripción de procesos, Nivel II Procedimientos Quién hace qué y cuándo Describe tareas Instrucciones de Nivel III específicas y cómo se Trabajo realizan Provee evidenciaNivel IV objetiva de la Registros conformidad con SGSI
    25. 25. Factores Claves de Éxito en la Implementación de un SGSIISO 27001 • Política de seguridad documentada y alineada con los objetivos del negocio. • Apoyo y participación visible de la alta gerencia. • Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. • Compatibilidad con la cultura organizacional. • Entrenamiento y educación.
    26. 26. Conclusiones • Hoy en día las organizacionesISO 27001 dependen en gran medida de su tecnología y sus activos de información. • Por lo anterior, impera una protección adecuada a las informaciones importantes. • Seguridad no es un producto, es un proceso que debe ser administrado.
    27. 27. ConclusionesISO 27001 • Nada es estático, la seguridad no es la excepción. Mejora continua. • Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
    28. 28. Preguntas y RespuestasISO 27001
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×