NTC ISO/IEC 27001
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
811
On Slideshare
758
From Embeds
53
Number of Embeds
4

Actions

Shares
Downloads
66
Comments
0
Likes
0

Embeds 53

http://www.slideee.com 28
http://maestriasigutp2013.blogspot.com 23
http://maestriasigcutp2013.blogspot.com 1
http://www.slidesearchengine.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. NTC ISO/IEC 27001 Tecnología de la información Técnicas de seguridad sistemas de gestión de la seguridad de la información Integrantes: Ing. Sandra Milena Ocampo C Ing. Jorge Hernán Gaviria
  • 2. ¿Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información puede estar • escrita, • en imágenes, • oral, • impresa en papel, • almacenada electrónicamente, • proyectada, • enviada por correo, fax o e-mail, • transmitida en conversaciones. • nube
  • 3. Seguridad de la información Consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
  • 4. Ciclo de vida de la información
  • 5. • La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Confidencialidad • Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.Integridad • Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Disponibilidad
  • 6. ¿Qué es un SGSI? Dado el conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI
  • 7. ORIGEN
  • 8. 1979 1998 20021995 2000 2013 200520072009 Normas BS La British Standards Institution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001. BS 7799-1:1995 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certificación ni establecía la forma de conseguirla. BS 7799-2:1999 Revisión de la anterior norma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 se revisa. ISO/IEC 17799:2000 La organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. BS 7799-2:2002 Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países. ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versión ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. Nueva ISO 27001:2013 Nueva ISO 27002:2013
  • 9. Directrices para auditoria de SGSI Requisitos organismos de auditoria Gestión del riesgo de S.I Métricas SGIS Guía para implementación del SGSI Términos y vocabulario Requisitos SGSI Guía de buenas prácticas SERIE 27000 27007 27009 27006 27005 27004 27003 27002 27001 27000
  • 10. ISO 27001: Norma principal de la serie. Especifica los requisitos para la implantación de un SGSI. ISO 27002: Guía de buenas prácticas para la gestión de la seguridad de la información. ISO 27003: Directrices para la implantación de un SGSI. ISO 27004: Métricas y técnicas para la gestión de la seguridad de la información. ISO 27005: Directrices para la gestión del riesgo seguridad de la información. ISO 27006: Requisitos para la acreditación de entidades que proporcionan certificación de SGSI. ISO 27007: Guía para auditar el SGSI. ISO 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO 27010: Guía para gestionar la seguridad de la información en comunicaciones entre sectores. ISO 27011: Guía de gestión de seguridad de la información para telecomunicaciones. ISO 270012: Requisitos y directrices de gestión de seguridad de la información en organizaciones de servicios de e-administración. ISO 27013: Guía para la implementación integrada de ISO 27001 e ISO 20000-1 (Requisitos SGSTI) ISO 27014: Guía de gobierno corporativo de la seguridad de la información. ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector seguros y finanzas ISO 27016: Guía de SGSI para aspectos económicos de las organizaciones. ISO 27031: Guía de continuidad de negocio referente a tecnologías de la información y comunicaciones. ISO 27032: Guía sobre ciberseguridad. ISO 27033: Formada por 7 partes para la gestión de redes (seguridad, arquitectura, diseño, implementación…) ISO 27034: Guía de seguridad en aplicaciones. ISO 27035: Guía de gestión de incidentes de seguridad de la información. ISO 27036: Guía de seguridad de servicios externalizados. ISO 27037: Guía para la identificación, recopilación y preservación de evidencias digitales. ISO 27038: Guía de especificación para la redacción digital. ISO 27039: Guía los sistemas de detección de intrusos. ISO 27040: Guía para la seguridad en medios de almacenamiento. naranja Normas que describen las pautas generales azul: Normas que especifican requisitos Amari Normas que describen directrices específicas del sector Ver Normas que describen directrices específicas del control ISO 27799: Estándar para la estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002.
  • 11. TRANSICIÓN
  • 12. Conceptos Generales del ISO 27001:2013 ISO/IEC 27001:2013 es un conjunto de lineamientos que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estos requisitos describen cuál es el comportamiento esperado del Sistema de Gestión una vez que esté en pleno funcionamiento.
  • 13. Estructura General ISO 27001:2013
  • 14. La nueva ISO 27001:2013 Nueva ISO27001:2013 Desaparece Enfoque a procesos Cambio de estructura que facilita la integración Nuevo modelo de estructura documental Enfoque del análisis del riesgo en la fase de planificación y operación. Se reducen los controles
  • 15. Cambios principales secciones 0. Introducción El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque por procesos” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI).
  • 16. Cambios principales secciones • 1. Alcance • En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.
  • 17. Cambios principales secciones • 2. Referencias normativas • El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). • El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
  • 18. Cambios principales secciones 3. Términos y definiciones Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.
  • 19. Cambios principales secciones 4. Contexto de la organización • Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización. • Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. • Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI. • Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.
  • 20. Cambios principales secciones 5. Liderazgo Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo: • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio. • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera). • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
  • 21. Cambios principales secciones 6. Planeación Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos. Se presentan grandes cambios en el proceso de evaluación de riesgos: • El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. • Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. • El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. • Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. • Los requerimientos del SOA no sufrieron transformaciones significativas.
  • 22. Cambios principales secciones 7. Soporte Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye: • Recursos • Personal competente • Conciencia y comunicación de las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
  • 23. Cambios principales secciones 8. Operación Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
  • 24. Cambios principales secciones 9. Evaluación del desempeño La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada.
  • 25. Cambios principales secciones 10. Mejora El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas. Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan.
  • 26. 1 - Cambios en los ANEXOS: nueva estructura del Anexo Agrega 3 dominios de control, los cuales incluyen un total de 113 controles, 20 menos que en la versión anterior. Dentro de los nuevos dominios de control aparece • Criptografía, siendo separada del dominio Adquisición, desarrollo y mantenimiento de la información. • Relación con proveedores • Operaciones de seguridad y Seguridad de las comunicaciones: resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios
  • 27. Valor agregado del cambio • Las empresas que quieran certificarse con esta norma ya no están obligados a implementar todos los controles de este anexo. Por lo que este se convierte en una guía para evitar que se omitan controles importantes por parte de la organización al momento de implementar su sistema de gestión (SGSI). Brindando mayor flexibilidad a las empresas para implementar de la manera más adecuada el sistema de gestión.
  • 28. 2- Cambio: anexo SL • adopción del Anexo SL (lo que era antes la Guía ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gestión genérico; ayudando a las empresas que por alguna razón deben certificar múltiples normas de sistemas de gestión. De esta forma ISO 27001 cumple con los requisitos comunes a todo sistema de gestión, facilitando la implementación y auditoria de varios sistemas en la misma organización.
  • 29. Implementación del SGSI
  • 30. ¿Qué documentos y registros son necesarios?
  • 31. Garantizar la confidencialidad, integridad y disponibilidad de información sensible. Disminuir el riesgo, con la consiguiente reducción de gastos asociados. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Mejorar continuamente la gestión de la seguridad de la información. Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen corporativa. Incremento de la confianza de las partes interesadas. Ventajas de implantar un SGSI basado en la ISO 27001
  • 32. Aumento de la rentabilidad, derivado de un control de los riesgos. Cumplir la legislación vigente referente a seguridad de la información. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicación y participación del personal en la gestión de la seguridad. Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros. Mejorar los procesos y servicios prestados. Aumentar de la competitividad por mejora de la imagen corporativa.
  • 33. Herramientas de software para la gestión de la seguridad de la información
  • 34. El software eGAM Seguridad de la información automatiza los procedimientos requeridos por la Norma ISO/IEC 27001 de manera que cuando se necesita ejecutar un proceso, el procedimiento correspondiente se carga instantáneamente en el sistema, distribuyendo automáticamente tareas, instrucciones a responsables y plazos, de forma que la propia ejecución de las tareas autogenera las evidencias necesarias del sistema de gestión.
  • 35. Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implementar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica – BSC, entre otros. Compuesta de diferentes módulos, es una herramienta escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es una solución que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.
  • 36. GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.
  • 37. Top 10 de países con más organizaciones certificadas en ISO 27001
  • 38. Colombia
  • 39. MEJORES PRÁCTICAS Y OTRAS NORMAS Anexo: http://www.bitcompany.biz/que-es-itil- cursos/#.UzcVAKh5PYE http://www.bitcompany.biz/que-es- cobit/#.UzcSoKh5PYE
  • 40. Conclusiones Más allá de los cambios en el estándar, lo más importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben ser interpretados de acuerdo al contexto de cada empresa.
  • 41. La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013 Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. Conclusiones