Normas ISO 27001y 27002MARVIN ZUMBADO FLORES
Agenda ISO y sus estándares Objetivos de ISO 27000 Diferencias entre ISO 27001 e ISO 27002. Dominios de ISO 27001. Im...
ISO y sus estándares Organización Internacional para la Estandarización (InternationalOrganization for Standardization) ...
Objetivos ISO 27000Una empresa que tenga establecida la ISO 27000 garantiza, tanto demanera interna como al resto de las e...
ISO 27000, 27001, 27002 ISO/IEC 27000 Define el vocabulario estándar, términos y conceptos empleados en la familia 27000...
Diferencias entre ISO 27001 e ISO27002 La ISO 27002 es mucho más detallada y mucho más precisa Los controles de la norma...
Diferencias entre ISO 27001 e ISO27002 (Cont.) Se establece en la ISO 27001 que el sistema de gestión significa que laseg...
Diferencias entre ISO 27001 e ISO27002 (Cont.) Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin lad...
Otros ISO/IECs de la misma familia ISO/IEC 27000 overview& vocabulary ISO/IEC 27001 formalISMS specification ISO/IEC 27...
ISO/IEC 27001 El objetivo principal se adopta al modelo Plan-Do-Check- Act(PDCA o ciclo de Deming) para todos los proceso...
Fases ciclo Deming Fase Planificación (Plan): Establecer la política, objetivos, procesos y procedimientos relativos a l...
Dominios ISO 27001
Seguridad de la Información Se definen la seguridad de la información como el logro, gestión ymantenimiento de tres carac...
Sistema de Gestión de laSeguridad de Información Es un sistema de gestión que comprende la política, la estructuraorganiz...
Sistema de Gestión de laSeguridad de Información (Cont.)
ISO/IEC 27002 Política de seguridad. Aspectos organizativos para laseguridad. Clasificación y control deactivos. Segur...
Dominios ISO 27002
Implementación Inteco Costa Rica: http://www.inteco.or.cr/esp/ Herramientas y buenas prácticas: https://iso27002.wiki....
Dominios relacionados con laAdministración de Proyectos InformáticosDominios ISO 27001 RelaciónPolíticas de SeguridadCompr...
FASES DEL PROCESO DE CERTIFICACIÓN
Conclusiones Una vez que el Sistema de Gestión de la Seguridad de laInformación ha sido implementado en una organización,...
Bibliografía Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002?Recuperado el 15/4/2013, dehttp://www.redsegurid...
Iso 27k   abril 2013
Iso 27k   abril 2013
Upcoming SlideShare
Loading in...5
×

Iso 27k abril 2013

1,635

Published on

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,635
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
125
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Iso 27k abril 2013

  1. 1. Normas ISO 27001y 27002MARVIN ZUMBADO FLORES
  2. 2. Agenda ISO y sus estándares Objetivos de ISO 27000 Diferencias entre ISO 27001 e ISO 27002. Dominios de ISO 27001. Implementación de ISO 27001. Fases del Proceso de Certificación Conclusiones.
  3. 3. ISO y sus estándares Organización Internacional para la Estandarización (InternationalOrganization for Standardization) Su función principal es la de buscar la estandarización de normasde productos y seguridad para las empresas a nivel internacional. La ISO 27000, es la norma que explica cómo implantar un Sistemade Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permiteproteger la información de ésta de la forma más fiable posible
  4. 4. Objetivos ISO 27000Una empresa que tenga establecida la ISO 27000 garantiza, tanto demanera interna como al resto de las empresas, que los riesgos de laseguridad de la información son controlados por la organización deuna forma eficiente. Objetivos: Preservar la confidencialidad de los datos de la empresa Conservar la integridad de estos datos Hacer que la información protegida se encuentre disponible
  5. 5. ISO 27000, 27001, 27002 ISO/IEC 27000 Define el vocabulario estándar, términos y conceptos empleados en la familia 27000. ISO/IEC 27001 Define los requisitos a cumplir para implantar un SGSI certificable conforme a lasnormas 27000. Define un SGSI, su gestiona y las responsabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act). Tiene como punto clave la gestión de riesgos unida con la mejora continua. ISO/IEC 27002 Define las buenas prácticas para la gestión de la seguridad. Medidas a tomar para asegurar los sistemas de información de una organización Se identifica los objetivos de control y los controles recomendados a implantar. Antes ISO 17799, basado en estándar BS 7799.
  6. 6. Diferencias entre ISO 27001 e ISO27002 La ISO 27002 es mucho más detallada y mucho más precisa Los controles de la norma ISO 27002 tienen la misma denominaciónque los indicados en el Anexo A de la ISO 27001, la diferencia sepresenta en el nivel de detalle. La ISO 27002 explica un control en forma extensa, en contraste conla ISO 27001 que sólo define una oración a cada uno. No es posible obtener la certificación ISO 27002 porque no es unanorma de gestión, la certificación en ISO 27001 sí es posible. La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 defineel sistema de gestión de seguridad de la información (SGSI).
  7. 7. Diferencias entre ISO 27001 e ISO27002 (Cont.) Se establece en la ISO 27001 que el sistema de gestión significa que laseguridad de la información debe serplanificada, implementada, supervisada, revisada y mejorada, que lagestión tiene sus responsabilidades específicas, que se debenestablecer, medir y revisar objetivos, que se deben realizar auditoríasinternas, etc. Esto no está establecido en la ISO 27002. La ISO 27002 no distingue entre los controles que son aplicables a unaorganización específica y los que no lo son, en contraste la ISO 27001exige la realización de una evaluación de riesgos sobre cada controlpara identificar si es necesario disminuir los riesgos y hasta qué punto sedeben aplicar. Se usa la ISO 27001 para crear la estructura de la seguridad de lainformación en la organización, se usa la ISO 27002 para implementarcontroles.
  8. 8. Diferencias entre ISO 27001 e ISO27002 (Cont.) Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin ladescripción proporcionada por la ISO 27002, los controles definidosen el Anexo A de la ISO 27001 no se podrían implementar, sin elmarco de gestión de la ISO 27001, la ISO 27002 es un esfuerzoaislado por la seguridad de la información, sin la aceptación de laalta dirección y sin efectos reales sobre la organización.
  9. 9. Otros ISO/IECs de la misma familia ISO/IEC 27000 overview& vocabulary ISO/IEC 27001 formalISMS specification ISO/IEC 27002 infoseccontrols guideline ISO/IEC27003 implementationguidance ISO/IEC 27004 infosecmetrics ISO/IEC 27005 infosecrisk management ISO/IEC 27006 ISMScertification guide ISO/IEC 27007 MSauditing guide ISO/IEC TR27008 technical auditing ISO/IEC 27010 for inter-org comms ISO/IEC 27011 ISO27k fortelecomms ISO/IEC 27013 forISMS+service mgmt ISO/IEC TR 27015 forfinancial services ISO/IEC 27031 businesscontinuity ISO/IEC27032 cybersecurity ISO/IEC 27033 networksecurity (parts) ISO/IEC27034 applicationsecurity (part) ISO/IEC 27035 incidentmanagement ISO/IEC 27037 digitalevidence ISO 27799 ISO27k forhealthcare industry
  10. 10. ISO/IEC 27001 El objetivo principal se adopta al modelo Plan-Do-Check- Act(PDCA o ciclo de Deming) para todos los procesos de laorganización.Imagen 1. Ciclo Deming.
  11. 11. Fases ciclo Deming Fase Planificación (Plan): Establecer la política, objetivos, procesos y procedimientos relativos a la gestión delriesgo y mejorar la seguridad de la información de la organización para ofrecerresultados de acuerdo con las políticas y objetivos generales de la organización. Fase Ejecución (Do): Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos yprocedimientos. Fase Seguimiento (Check): Medir y revisar las prestaciones de los procesos del SGSI.Fase Mejora (Act): Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internaso en otra información relevante a fin de alcanzar la mejora continua del SGSI.
  12. 12. Dominios ISO 27001
  13. 13. Seguridad de la Información Se definen la seguridad de la información como el logro, gestión ymantenimiento de tres características elementales: Confidencialidad. La información sólo debe ser vista por aquellos quetienen permiso para ello. Integridad. La información podrá ser modificada solo por aquellos conderecho a cambiarla. Disponibilidad. La información deberá estar disponible en el momentoen que los usuarios autorizados requieren acceder a ella.
  14. 14. Sistema de Gestión de laSeguridad de Información Es un sistema de gestión que comprende la política, la estructuraorganizativa, los procedimientos, procesos y los recursos necesariospara implementar la gestión de la seguridad de la información. Esla herramienta de la que dispone la Dirección de lasorganizaciones para llevar a cabo las políticas y objetivos deseguridad. Sistema de Gestión de Seguridad de la Información, es el puntocentral de la norma 2700.
  15. 15. Sistema de Gestión de laSeguridad de Información (Cont.)
  16. 16. ISO/IEC 27002 Política de seguridad. Aspectos organizativos para laseguridad. Clasificación y control deactivos. Seguridad ligada al personal. Seguridad física y del entorno. Gestión de comunicaciones yoperaciones. Control de accesos. Desarrollo y mantenimiento desistemas. Gestión de incidentes deseguridad de la información. Gestión de continuidad denegocio. Conformidad. “Conjunto de recomendaciones sobre qué medidas tomar en laempresa para asegurar los Sistemas de Información.” Secciones:
  17. 17. Dominios ISO 27002
  18. 18. Implementación Inteco Costa Rica: http://www.inteco.or.cr/esp/ Herramientas y buenas prácticas: https://iso27002.wiki.zoho.com/ Plantillas
  19. 19. Dominios relacionados con laAdministración de Proyectos InformáticosDominios ISO 27001 RelaciónPolíticas de SeguridadCompromiso e Involucramiento delas partes.Organización de la Seguridad Roles y ResponsabilidadesAdministración de ActivosLa necesidad de hacer las cosas a lamedida justaAdministración de las Comunicaciones yOperacionesEl Gobierno de TIControl de Acceso Procesos y Controles clavesAdquisición, desarrollo y mantenimiento de Sistemasde Información.Procesos y Controles clavesPlan de Continuidad del NegocioSu desarrollo, Roles yResponsabilidadesCumplimiento de Leyes y RegulacionesImpacto Real, Roles yResponsabilidades
  20. 20. FASES DEL PROCESO DE CERTIFICACIÓN
  21. 21. Conclusiones Una vez que el Sistema de Gestión de la Seguridad de laInformación ha sido implementado en una organización, se puedeoptar por su certificación, siguiendo el estándar ISO 27001, ante unOrganismo Internacional de Acreditación. El propósito de una certificación le demuestra al mercado que laorganización tiene un adecuado Sistema de Gestión que daSeguridad de la Información. La existencia del certificado no implica que la empresa este librede riesgos, sino que la empresa ha implantado un adecuadosistema de gestión de dichos riesgos y un proceso de mejoracontinua.
  22. 22. Bibliografía Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002?Recuperado el 15/4/2013, dehttp://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001-y-la-iso-27002 Enjuto, J. (2007). Diferencias entre ISO 27001 e ISO 27002. Recuperado el15/4/2013, de http://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.html Estándares y Normas de Seguridad. Recuperado el 11/4/2013, dehttp://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf ISO 27002. Recuperado el 11/4/2013, dehttp://www.iso27000.es/download/ControlesISO27002-2005.pdf Rodríguez, J. Gestión de la Seguridad. Recuperado el 11/4/2013, dehttp://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSeguridad.pdf
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×