SlideShare a Scribd company logo

NTC ISO/IEC 27001

George Gaviria
George Gaviria
Education
1 of 50
Download to read offline
NTC ISO/IEC 27001 Tecnología de la información Técnicas de seguridad sistemas de gestión de la seguridad de la información Integrantes: Ing. Sandra Milena Ocampo C Ing. Jorge Hernán Gaviria
¿Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información puede estar • escrita, • en imágenes, • oral, • impresa en papel, • almacenada electrónicamente, • proyectada, • enviada por correo, fax o e-mail, • transmitida en conversaciones. • nube
Seguridad de la información Consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
Ciclo de vida de la información
• La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Confidencialidad • Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.Integridad • Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Disponibilidad
¿Qué es un SGSI? Dado el conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI
ORIGEN
1979 1998 20021995 2000 2013 200520072009 Normas BS La British Standards Institution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001. BS 7799-1:1995 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certificación ni establecía la forma de conseguirla. BS 7799-2:1999 Revisión de la anterior norma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 se revisa. ISO/IEC 17799:2000 La organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. BS 7799-2:2002 Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países. ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versión ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. Nueva ISO 27001:2013 Nueva ISO 27002:2013
Directrices para auditoria de SGSI Requisitos organismos de auditoria Gestión del riesgo de S.I Métricas SGIS Guía para implementación del SGSI Términos y vocabulario Requisitos SGSI Guía de buenas prácticas SERIE 27000 27007 27009 27006 27005 27004 27003 27002 27001 27000
ISO 27001: Norma principal de la serie. Especifica los requisitos para la implantación de un SGSI. ISO 27002: Guía de buenas prácticas para la gestión de la seguridad de la información. ISO 27003: Directrices para la implantación de un SGSI. ISO 27004: Métricas y técnicas para la gestión de la seguridad de la información. ISO 27005: Directrices para la gestión del riesgo seguridad de la información. ISO 27006: Requisitos para la acreditación de entidades que proporcionan certificación de SGSI. ISO 27007: Guía para auditar el SGSI. ISO 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO 27010: Guía para gestionar la seguridad de la información en comunicaciones entre sectores. ISO 27011: Guía de gestión de seguridad de la información para telecomunicaciones. ISO 270012: Requisitos y directrices de gestión de seguridad de la información en organizaciones de servicios de e-administración. ISO 27013: Guía para la implementación integrada de ISO 27001 e ISO 20000-1 (Requisitos SGSTI) ISO 27014: Guía de gobierno corporativo de la seguridad de la información. ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector seguros y finanzas ISO 27016: Guía de SGSI para aspectos económicos de las organizaciones. ISO 27031: Guía de continuidad de negocio referente a tecnologías de la información y comunicaciones. ISO 27032: Guía sobre ciberseguridad. ISO 27033: Formada por 7 partes para la gestión de redes (seguridad, arquitectura, diseño, implementación…) ISO 27034: Guía de seguridad en aplicaciones. ISO 27035: Guía de gestión de incidentes de seguridad de la información. ISO 27036: Guía de seguridad de servicios externalizados. ISO 27037: Guía para la identificación, recopilación y preservación de evidencias digitales. ISO 27038: Guía de especificación para la redacción digital. ISO 27039: Guía los sistemas de detección de intrusos. ISO 27040: Guía para la seguridad en medios de almacenamiento. naranja Normas que describen las pautas generales azul: Normas que especifican requisitos Amari Normas que describen directrices específicas del sector Ver Normas que describen directrices específicas del control ISO 27799: Estándar para la estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002.
TRANSICIÓN
Conceptos Generales del ISO 27001:2013 ISO/IEC 27001:2013 es un conjunto de lineamientos que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estos requisitos describen cuál es el comportamiento esperado del Sistema de Gestión una vez que esté en pleno funcionamiento.
Estructura General ISO 27001:2013
La nueva ISO 27001:2013 Nueva ISO27001:2013 Desaparece Enfoque a procesos Cambio de estructura que facilita la integración Nuevo modelo de estructura documental Enfoque del análisis del riesgo en la fase de planificación y operación. Se reducen los controles
Cambios principales secciones 0. Introducción El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque por procesos” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI).
Cambios principales secciones • 1. Alcance • En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.
Cambios principales secciones • 2. Referencias normativas • El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). • El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
Cambios principales secciones 3. Términos y definiciones Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.
Cambios principales secciones 4. Contexto de la organización • Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización. • Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. • Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI. • Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.
Cambios principales secciones 5. Liderazgo Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo: • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio. • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera). • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
Cambios principales secciones 6. Planeación Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos. Se presentan grandes cambios en el proceso de evaluación de riesgos: • El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. • Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. • El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. • Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. • Los requerimientos del SOA no sufrieron transformaciones significativas.
Cambios principales secciones 7. Soporte Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye: • Recursos • Personal competente • Conciencia y comunicación de las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
Cambios principales secciones 8. Operación Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
Cambios principales secciones 9. Evaluación del desempeño La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada.
Cambios principales secciones 10. Mejora El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas. Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan.
1 - Cambios en los ANEXOS: nueva estructura del Anexo Agrega 3 dominios de control, los cuales incluyen un total de 113 controles, 20 menos que en la versión anterior. Dentro de los nuevos dominios de control aparece • Criptografía, siendo separada del dominio Adquisición, desarrollo y mantenimiento de la información. • Relación con proveedores • Operaciones de seguridad y Seguridad de las comunicaciones: resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios
Valor agregado del cambio • Las empresas que quieran certificarse con esta norma ya no están obligados a implementar todos los controles de este anexo. Por lo que este se convierte en una guía para evitar que se omitan controles importantes por parte de la organización al momento de implementar su sistema de gestión (SGSI). Brindando mayor flexibilidad a las empresas para implementar de la manera más adecuada el sistema de gestión.
2- Cambio: anexo SL • adopción del Anexo SL (lo que era antes la Guía ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gestión genérico; ayudando a las empresas que por alguna razón deben certificar múltiples normas de sistemas de gestión. De esta forma ISO 27001 cumple con los requisitos comunes a todo sistema de gestión, facilitando la implementación y auditoria de varios sistemas en la misma organización.
Implementación del SGSI
¿Qué documentos y registros son necesarios?
Garantizar la confidencialidad, integridad y disponibilidad de información sensible. Disminuir el riesgo, con la consiguiente reducción de gastos asociados. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Mejorar continuamente la gestión de la seguridad de la información. Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen corporativa. Incremento de la confianza de las partes interesadas. Ventajas de implantar un SGSI basado en la ISO 27001
Aumento de la rentabilidad, derivado de un control de los riesgos. Cumplir la legislación vigente referente a seguridad de la información. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicación y participación del personal en la gestión de la seguridad. Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros. Mejorar los procesos y servicios prestados. Aumentar de la competitividad por mejora de la imagen corporativa.
Herramientas de software para la gestión de la seguridad de la información
El software eGAM Seguridad de la información automatiza los procedimientos requeridos por la Norma ISO/IEC 27001 de manera que cuando se necesita ejecutar un proceso, el procedimiento correspondiente se carga instantáneamente en el sistema, distribuyendo automáticamente tareas, instrucciones a responsables y plazos, de forma que la propia ejecución de las tareas autogenera las evidencias necesarias del sistema de gestión.
Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implementar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica – BSC, entre otros. Compuesta de diferentes módulos, es una herramienta escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es una solución que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.
GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.
Top 10 de países con más organizaciones certificadas en ISO 27001
Colombia
MEJORES PRÁCTICAS Y OTRAS NORMAS Anexo: http://www.bitcompany.biz/que-es-itil- cursos/#.UzcVAKh5PYE http://www.bitcompany.biz/que-es- cobit/#.UzcSoKh5PYE
Conclusiones Más allá de los cambios en el estándar, lo más importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben ser interpretados de acuerdo al contexto de cada empresa.
La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013 Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. Conclusiones
NTC ISO/IEC 27001

Recommended

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Intedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfIntedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfNellyMoya
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 

Recommended

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Intedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfIntedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfNellyMoya
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Aplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfAplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfJOSESAQUERFEGHALIJAB
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000Pedhro Acuario
 

More Related Content

What's hot

Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 

What's hot (20)

Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 

Similar to NTC ISO/IEC 27001

Aplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfAplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfJOSESAQUERFEGHALIJAB
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 

Similar to NTC ISO/IEC 27001 (20)

Aplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfAplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdf
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
ii
iiii
ii
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Is
IsIs
Is
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
 

Recently uploaded

libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicialLorenaSanchez350426
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJOLeninCariMogrovejo
 
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2Eliseo Delgado
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxNataliaGonzalez619348
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdfRAMON EUSTAQUIO CARO BAYONA
 
Técnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesTécnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesRaquel Martín Contreras
 
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaManejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaLuis Minaya
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfssuser50d1252
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Rosabel UA
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressionsConsueloSantana3
 
HISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAHISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAJesus Gonzalez Losada
 
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...GIANCARLOORDINOLAORD
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfssuser50d1252
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfssuser50d1252
 
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI Tarea 4_ Foro _Incorporar habilidades de Siglo XXI
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI Manuel Molina
 
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsxJuanpm27
 

Recently uploaded (20)

libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicial
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
 
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2
PÉNSUM ENFERMERIA 2024 - ECUGENIUS S.A. V2
 
recursos naturales america cuarto basico
recursos naturales america cuarto basicorecursos naturales america cuarto basico
recursos naturales america cuarto basico
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf
 
Técnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesTécnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materiales
 
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaManejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressions
 
HISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAHISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICA
 
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
 
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI Tarea 4_ Foro _Incorporar habilidades de Siglo XXI
Tarea 4_ Foro _Incorporar habilidades de Siglo XXI
 
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
 

NTC ISO/IEC 27001

  • 1. NTC ISO/IEC 27001 Tecnología de la información Técnicas de seguridad sistemas de gestión de la seguridad de la información Integrantes: Ing. Sandra Milena Ocampo C Ing. Jorge Hernán Gaviria
  • 2. ¿Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información puede estar • escrita, • en imágenes, • oral, • impresa en papel, • almacenada electrónicamente, • proyectada, • enviada por correo, fax o e-mail, • transmitida en conversaciones. • nube
  • 3. Seguridad de la información Consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
  • 4. Ciclo de vida de la información
  • 5. • La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Confidencialidad • Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.Integridad • Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Disponibilidad
  • 6. ¿Qué es un SGSI? Dado el conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI
  • 8. 1979 1998 20021995 2000 2013 200520072009 Normas BS La British Standards Institution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001. BS 7799-1:1995 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certificación ni establecía la forma de conseguirla. BS 7799-2:1999 Revisión de la anterior norma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 se revisa. ISO/IEC 17799:2000 La organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. BS 7799-2:2002 Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países. ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versión ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. Nueva ISO 27001:2013 Nueva ISO 27002:2013
  • 9. Directrices para auditoria de SGSI Requisitos organismos de auditoria Gestión del riesgo de S.I Métricas SGIS Guía para implementación del SGSI Términos y vocabulario Requisitos SGSI Guía de buenas prácticas SERIE 27000 27007 27009 27006 27005 27004 27003 27002 27001 27000
  • 10. ISO 27001: Norma principal de la serie. Especifica los requisitos para la implantación de un SGSI. ISO 27002: Guía de buenas prácticas para la gestión de la seguridad de la información. ISO 27003: Directrices para la implantación de un SGSI. ISO 27004: Métricas y técnicas para la gestión de la seguridad de la información. ISO 27005: Directrices para la gestión del riesgo seguridad de la información. ISO 27006: Requisitos para la acreditación de entidades que proporcionan certificación de SGSI. ISO 27007: Guía para auditar el SGSI. ISO 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO 27010: Guía para gestionar la seguridad de la información en comunicaciones entre sectores. ISO 27011: Guía de gestión de seguridad de la información para telecomunicaciones. ISO 270012: Requisitos y directrices de gestión de seguridad de la información en organizaciones de servicios de e-administración. ISO 27013: Guía para la implementación integrada de ISO 27001 e ISO 20000-1 (Requisitos SGSTI) ISO 27014: Guía de gobierno corporativo de la seguridad de la información. ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector seguros y finanzas ISO 27016: Guía de SGSI para aspectos económicos de las organizaciones. ISO 27031: Guía de continuidad de negocio referente a tecnologías de la información y comunicaciones. ISO 27032: Guía sobre ciberseguridad. ISO 27033: Formada por 7 partes para la gestión de redes (seguridad, arquitectura, diseño, implementación…) ISO 27034: Guía de seguridad en aplicaciones. ISO 27035: Guía de gestión de incidentes de seguridad de la información. ISO 27036: Guía de seguridad de servicios externalizados. ISO 27037: Guía para la identificación, recopilación y preservación de evidencias digitales. ISO 27038: Guía de especificación para la redacción digital. ISO 27039: Guía los sistemas de detección de intrusos. ISO 27040: Guía para la seguridad en medios de almacenamiento. naranja Normas que describen las pautas generales azul: Normas que especifican requisitos Amari Normas que describen directrices específicas del sector Ver Normas que describen directrices específicas del control ISO 27799: Estándar para la estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002.
  • 12. Conceptos Generales del ISO 27001:2013 ISO/IEC 27001:2013 es un conjunto de lineamientos que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estos requisitos describen cuál es el comportamiento esperado del Sistema de Gestión una vez que esté en pleno funcionamiento.
  • 14. La nueva ISO 27001:2013 Nueva ISO27001:2013 Desaparece Enfoque a procesos Cambio de estructura que facilita la integración Nuevo modelo de estructura documental Enfoque del análisis del riesgo en la fase de planificación y operación. Se reducen los controles
  • 15. Cambios principales secciones 0. Introducción El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque por procesos” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI).
  • 16. Cambios principales secciones • 1. Alcance • En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.
  • 17. Cambios principales secciones • 2. Referencias normativas • El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). • El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
  • 18. Cambios principales secciones 3. Términos y definiciones Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.
  • 19. Cambios principales secciones 4. Contexto de la organización • Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización. • Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. • Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI. • Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.
  • 20. Cambios principales secciones 5. Liderazgo Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo: • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio. • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera). • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
  • 21. Cambios principales secciones 6. Planeación Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos. Se presentan grandes cambios en el proceso de evaluación de riesgos: • El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. • Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. • El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. • Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. • Los requerimientos del SOA no sufrieron transformaciones significativas.
  • 22. Cambios principales secciones 7. Soporte Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye: • Recursos • Personal competente • Conciencia y comunicación de las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
  • 23. Cambios principales secciones 8. Operación Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
  • 24. Cambios principales secciones 9. Evaluación del desempeño La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada.
  • 25. Cambios principales secciones 10. Mejora El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas. Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan.
  • 26. 1 - Cambios en los ANEXOS: nueva estructura del Anexo Agrega 3 dominios de control, los cuales incluyen un total de 113 controles, 20 menos que en la versión anterior. Dentro de los nuevos dominios de control aparece • Criptografía, siendo separada del dominio Adquisición, desarrollo y mantenimiento de la información. • Relación con proveedores • Operaciones de seguridad y Seguridad de las comunicaciones: resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios
  • 27. Valor agregado del cambio • Las empresas que quieran certificarse con esta norma ya no están obligados a implementar todos los controles de este anexo. Por lo que este se convierte en una guía para evitar que se omitan controles importantes por parte de la organización al momento de implementar su sistema de gestión (SGSI). Brindando mayor flexibilidad a las empresas para implementar de la manera más adecuada el sistema de gestión.
  • 28. 2- Cambio: anexo SL • adopción del Anexo SL (lo que era antes la Guía ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gestión genérico; ayudando a las empresas que por alguna razón deben certificar múltiples normas de sistemas de gestión. De esta forma ISO 27001 cumple con los requisitos comunes a todo sistema de gestión, facilitando la implementación y auditoria de varios sistemas en la misma organización.
  • 29.
  • 31.
  • 32. ¿Qué documentos y registros son necesarios?
  • 33.
  • 34.
  • 35. Garantizar la confidencialidad, integridad y disponibilidad de información sensible. Disminuir el riesgo, con la consiguiente reducción de gastos asociados. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Mejorar continuamente la gestión de la seguridad de la información. Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen corporativa. Incremento de la confianza de las partes interesadas. Ventajas de implantar un SGSI basado en la ISO 27001
  • 36. Aumento de la rentabilidad, derivado de un control de los riesgos. Cumplir la legislación vigente referente a seguridad de la información. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicación y participación del personal en la gestión de la seguridad. Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros. Mejorar los procesos y servicios prestados. Aumentar de la competitividad por mejora de la imagen corporativa.
  • 37. Herramientas de software para la gestión de la seguridad de la información
  • 38. El software eGAM Seguridad de la información automatiza los procedimientos requeridos por la Norma ISO/IEC 27001 de manera que cuando se necesita ejecutar un proceso, el procedimiento correspondiente se carga instantáneamente en el sistema, distribuyendo automáticamente tareas, instrucciones a responsables y plazos, de forma que la propia ejecución de las tareas autogenera las evidencias necesarias del sistema de gestión.
  • 39.
  • 40. Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implementar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica – BSC, entre otros. Compuesta de diferentes módulos, es una herramienta escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es una solución que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.
  • 41.
  • 42. GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.
  • 43.
  • 44.
  • 45. Top 10 de países con más organizaciones certificadas en ISO 27001
  • 47. MEJORES PRÁCTICAS Y OTRAS NORMAS Anexo: http://www.bitcompany.biz/que-es-itil- cursos/#.UzcVAKh5PYE http://www.bitcompany.biz/que-es- cobit/#.UzcSoKh5PYE
  • 48. Conclusiones Más allá de los cambios en el estándar, lo más importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben ser interpretados de acuerdo al contexto de cada empresa.
  • 49. La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013 Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. Conclusiones