Iso 27000
Upcoming SlideShare
Loading in...5
×
 

Iso 27000

on

  • 24,623 views

 

Statistics

Views

Total Views
24,623
Views on SlideShare
21,360
Embed Views
3,263

Actions

Likes
3
Downloads
1,058
Comments
1

18 Embeds 3,263

http://www.dautecom.com 2747
http://uemovilidad.blogspot.com 153
http://julianabh.wordpress.com 127
http://uemovilidad.blogspot.com.es 104
http://uemovilidad.blogspot.mx 32
http://9198643626251654160_ffdbb24f75d3cfd4d6f103b20167ecfed95b4e4b.blogspot.com 30
http://uemovilidad.blogspot.com.ar 23
http://dautecom.wordpress.com 19
http://uemovilidad.wordpress.com 10
http://www.slideshare.net 5
http://translate.googleusercontent.com 4
url_unknown 2
http://uemovilidad.blogspot.fr 2
http://66.163.168.225 1
http://localhost 1
http://uemovilidad.blogspot.com.br 1
http://uemovilidad.blogspot.tw 1
http://uemovilidad.blogspot.pt 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • muy bueno
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Iso 27000 Iso 27000 Presentation Transcript

    • ISO 27000
      GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN
      JULIANA BERMÚDEZ HENAO
    • ¿Qué es ISO 27000 ?
      Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.
    • ISO 27000
      ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN.
    • ISO 27001
      Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
      Este estándar internacional ha sidopreparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
      Este estándar promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
    • Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.
    • PDCA
    • PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001
      • Identificar los objetivos de negocio
      • Seleccionar un alcance adecuado
      • Determinar el nivel de madurez ISO 27001
      • Analizar el retorno de inversión
    • Términos y definiciones:
       
      • Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados.
      • Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.
      • Sistema de gestión de la seguridad de la información: esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información
    • ISO 27002
      Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
    • La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:
    • ISO 27003
      Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.
    • ISO 27004
      Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.
    • “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”
      Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.
    • MEDICIONES EN UN SGSGI :
      Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”.
      EL MODELO Y MÉTODO PARA LAS MEDICIONES DE SEGURIDAD:
      Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información.
      3. DEFINICIÓN Y SELECCIÓN DE LAS MEDICIONES EN UN SGSI:
      La norma especifica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.
    • 4. OPERACIÓN DE LAS MEDICIONES DEL SGSI (FASE DO: HACER) :
      La fase “Do” es una de las que establece el enlace entre las mediciones que resultan adecuadas para cubrir en la organización en un momento dado.
      5. MEJORAS DE LAS MEDICIONES DEL SGSI (FASES CHECK Y ACT: MONITORIZAR/AUDITAR Y ACTUAR):
      Las fases “Check” y “Act” facilitarán las mejoras y reencauces de los procesos de medición, y permitirán el análisis de la información de mediciones disponibles y su apoyo para la toma de decisiones.
      6. LA DIRECCIÓN.
      La Dirección debería establecer y mantener acuerdos en sus mediciones. Su implementación debe ser acorde a lo que establecen los estándares internacionales, teniendo en cuenta la aceptación de los requerimientos de mediciones.
    • ISO 27005
      Establece las directrices para la gestión del riesgo en la seguridad de la información.
      Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.
    • ISO 27006
      Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
    • ISO 27011
      Es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional
      de Telecomunicaciones).
    • Esta norma está orientada a los organismos que proporcionan procesos de apoyo e información en las telecomunicaciones, instalaciones de telecomunicaciones, redes y líneas y para los que éstos suponen importantes activos empresariales.
      La gestión de la seguridad de la información es sumamente necesario con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con éxito sus actividades.
    • ISO 27799
      Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002)
      Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.