09 Global Knowledge II Avanza 2009

797 views
662 views

Published on

Presentación II de Global Knowledge en Plan Avanza 2009

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
797
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

09 Global Knowledge II Avanza 2009

  1. 1. Introducción al estándar ISO 27001 Gabriel Díaz Orueta 16/09/2008 1 © 2008 Global Knowledge Training LLC. All rights reserved
  2. 2. CONTENIDOS 1- ¿De qué vamos a hablar? 2- Un poco de historia 3- La familia de normas 2700x 4- El estándar ISO 27001 5- Implantación y certificación 16/09/2008 2 © 2008 Global Knowledge Training LLC. All rights reserved
  3. 3. 1- ¿Dónde estamos? Durante una feria a la que el CEO de una importante compañía de desarrollo de Software asistió para dar una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase: “Si la General Motors se hubiera desarrollado como la industria de la informática en los últimos diez años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14 kilogramos y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio sería de 25 dólares”. 16/09/2008 3 © 2008 Global Knowledge Training LLC. All rights reserved
  4. 4. La respuesta de General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera seguido la evolución de la informática hoy tendríamos coches de las siguientes características: Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y cada día, sin que usted pudiera no podría volver a arrancarlo. Este explicarse la causa. hecho podría producirse al intentar Ocasionalmente, su coche se pararía realizar una maniobra (como girar a en medio de una autopista sin la izquierda). La solución será ninguna razón. Debería aceptarlo con reinstalar de nuevo el motor. resignación, volver a arrancar y Extrañamente, también aceptaría tal seguir conduciendo esperando que hecho resignado. no vuelva a ocurrir (y, por supuesto, Además, las puertas de su vehículo no tendría ninguna garantía de ello). se bloquearían frecuentemente sin Siempre que se presentase un nuevo razón aparente. Sin embargo, podría vehículo, los conductores deberían volverlas a abrir utilizando algún volver a aprender a conducir porque truco como accionar el tirador al nada funcionaría igual que en el mismo tiempo que con una mano modelo anterior. gira la llave de contacto y con la otra agarra la antena de la radio. 16/09/2008 4 © 2008 Global Knowledge Training LLC. All rights reserved
  5. 5. Aproximación a los problemas de seguridad Código malicioso Usuarios autorizados Vulnerabilidades del equipamiento Usuarios no autorizados Gestión de la compañía Otros 11% 9% 31% 11% 15% 23% 16/09/2008 5 © 2008 Global Knowledge Training LLC. All rights reserved
  6. 6. ISO 27000: la punta del iceberg Hay ya una gran cantidad de estándares y normas técnicas sobre diversos asuntos relacionados con la seguridad informática: - Firma digital - Seguridad de redes - Cifrado (algoritmos, - No repudio modos de operación, - Números primos gestión de claves) - Evaluación de seguridad de - Autenticación de entidades los productos - Funciones hash - Gestión de incidentes de - Detección de intrusiones seguridad - Actividades de forensia TI - Time-stamping - Message authentication codes 16/09/2008 6 © 2008 Global Knowledge Training LLC. All rights reserved
  7. 7. Hay que cambiar las cosas… Los pobres resultados en seguridad de la información son normalmente el resultado de una mala gestión y no de controles técnicos pobres. La serie de estándares de SGSI 27000 afrontan los problemas de información a los que nos enfrentamos desde el punto de vista de la gestión. No resulta sencillo, pero son “buenas prácticas” y funcionan. 16/09/2008 7 © 2008 Global Knowledge Training LLC. All rights reserved
  8. 8. 2- Un poco de historia • 1992: El “Department of Trade and Industry (DTI)”, parte del gobierno del Reino Unido, publica su 'Code of Practice for Information Security Management'. • 1995: Este documento es reformado y republicado por el British Standards Institute (BSI) en 1995 como BS- 7799. • 1996: Empiezan a surgir herramientas y soporte, como COBRA. • 1999: Se publica la primera gran revisión del BS-7799. Se ponen en marcha esquemas de certificación y de acreditación, como el propio BSI. 16/09/2008 8 © 2008 Global Knowledge Training LLC. All rights reserved
  9. 9. Un poco de historia • 2000: En Diciembre, se republica BS7799 como un estándar ISO “fast tracked”. Se convierte en ISO 17799 (más formalmente ISO/IEC 17799). • 2001: Se pone en marcha el 'ISO 17799 Toolkit'. • 2002: Se publica una segunda parte del estándar: BS7799-2. Esta vez se trata de una especificación de Gestión de la Seguridad, más que un código de buenas prácticas. Se pone en marcha el proceso de alineamiento con otras normas de gestión, como ISO 9000. • 2005: Se publica una nueva versión de ISO 17799, que incluye dos nuevas secciones y un alineamiento mayor con los procesos de BS7799-2 • 2005: Se publica ISO 27001 como reemplazo de BS7799-2, que es retirado. Se trata de una especificación para un “ISMS (information security management system)”, alineado con ISO 17799 y compatible con ISO 9001 and ISO 14001. 16/09/2008 9 © 2008 Global Knowledge Training LLC. All rights reserved
  10. 10. ¿De dónde llegó ISO 17799? • El BS7799 se concibió como un sistema de gestión neutral con respecto a los fabricantes y a las tecnologías que, implementado correctamente, permitiría a la dirección de una organización asegurar que sus medidas de seguridad de la información son efectivas. • Desde el principio, el BS7799 puso su foco en la protección de la disponibilidad, confidencialidad e integridad de la información de la organización y estos siguen siendo, hoy en día, los objetivos del estándar. • Originalmente BS7799 era un sólo estándar y tenía el status de “Código de Prácticas”. En otras palabras, proporcionaba guía a las organizaciones, pero no había sido escrito como una especificación que pudiera formar la base de una cerificación externa y de un esquema de certificaciones. 16/09/2008 10 © 2008 Global Knowledge Training LLC. All rights reserved
  11. 11. 1995 1996 1999 2000 2002 2005 BS7799:1995 ISO 14980:1996 BS7799-1:1999 ISO/IEC 17799:2000 UNE/ISO 17799:2002 ISO 27001:2005 ISO 27002:2005 2007-11-28 UNE-ISO/IEC 27001:2007 16/09/2008 11 © 2008 Global Knowledge Training LLC. All rights reserved
  12. 12. 3- La familia de normas 2700x Estándares publicados ISO/IEC 27001 – El estándar de certificación contra el que se pueden certificar los SGSI (Sistemas de Gestión de Seguridad de la Información) ISO/IEC 27002 – El nuevo nombre del estándar ISO 17799 (revisado en 2005 y renumerado como ISO/IEC 27002:2005 en Julio de 2007) ISO/IEC 27005 - El estándar propuesto para gestión de riesgos (aprobado en Junio de 2008) ISO/IEC 27006 – Una guía para el proceso de registro y certificación (publicado en 2007) 16/09/2008 12 © 2008 Global Knowledge Training LLC. All rights reserved
  13. 13. La familia de normas 2700x En preparación: ISO/IEC 27000 – un vocabulario estándar para las normas de un SGSI ISO/IEC 27003 – una guía nueva de implementación de un SGSI. Tiene su origen en el anexo B de la norma BS7799-2 ISO/IEC 27004 – un nuevo estándar sobre métricas de gestión de seguridad de la información ISO/IEC 27007 – un “guideline” sobre auditorías de SGSI ISO/IEC 27011 – un “guideline” para telecomunicaciones en SGSI ISO/IEC 27799 – una guía de implementación del ISO/IEC 27002 en la industría sanitaria 16/09/2008 13 © 2008 Global Knowledge Training LLC. All rights reserved
  14. 14. La idea principal… Plan Establecer el Establecer el SGSI SGSI Mantener yyoperar Mantener yy Do Act Mantener operar Mantener el SGSI mejorar el SGSI el SGSI mejorar el SGSI Monitorizar yy Monitorizar revisar el SGSI revisar el SGSI Check Ciclo PDCA de DEMMING 16/09/2008 14 © 2008 Global Knowledge Training LLC. All rights reserved
  15. 15. ISO 27000 • Definé la terminología para toda la serie de estándares 27000 • Trata de buscar consistencia en la termonología • Se espera que impacte en otras normas como COBIT (procesos TI) e ITIL para evitar confusiones 16/09/2008 15 © 2008 Global Knowledge Training LLC. All rights reserved
  16. 16. ISO 27004 • Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. 16/09/2008 16 © 2008 Global Knowledge Training LLC. All rights reserved
  17. 17. 4- El estándar ISO 27001 ¿Qué es un Sistema de Gestión de Seguridad de la Información? “Es un conjunto de políticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de información dentro de unos niveles asumibles por la dirección y mejorar la seguridad de la información para apoyar los procesos de negocio a través del ciclo de mejora continua”. El núcleo sobre el que se fundamenta un SGSI es la GESTION DEL RIESGO 16/09/2008 17 © 2008 Global Knowledge Training LLC. All rights reserved
  18. 18. ¿Cómo trata el riesgo un SGSI? Primero… Activos analizar el CLASIFICACION Amenazas Vulnerabilidades DEL RIESGO riesgo Impacto Segundo… Cuarto… decidir sobre 1.- Aceptarlo NIVEL 2.- Transferirlo corregir y el riesgo ACEPTABLE DEL 3.- Gestionarlo RIESGO mejorar Tercero… 1.- Políticas medir cómo 2.- Procedimientos CONTROL DEL van las cosas 3.- Implantación RIESGO 4.- Eficacia 16/09/2008 18 © 2008 Global Knowledge Training LLC. All rights reserved
  19. 19. PRINCIPIOS BÁSICOS La identificación y la protección de la información es la esencia de ISO 27001 Tipos de activos de información: – Contenido, contenedor, el que lo transporta – Bases de datos, aplicaciones, registros y sistema TI – Registros legales, organizativos y del comité de dirección – Protección intelectual – Reputación – Gente Los 3 aspectos fundamentales de la Seguridad de la Información: – Confidencialidad- Protección de la información frente a revelación no autorizada – Integridad- Protección de la información frente a modificación no autorizada y seguridad de la precisión y completitud – Disponibilidad- Asegurarse de que la información está disponible cuando es necesaria 16/09/2008 19 © 2008 Global Knowledge Training LLC. All rights reserved
  20. 20. CONTENIDOS DE LA NORMA 0- Introducción: generalidades e introducción al método PDCA. 1- Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 2- Normas para consulta: otras normas que sirven de referencia. 3- Términos y definiciones: breve descripción de los términos más usados en la norma. 4- Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 16/09/2008 20 © 2008 Global Knowledge Training LLC. All rights reserved
  21. 21. CONTENIDOS DE LA NORMA 5- Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 6- Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento. 7- Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección. 8- Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. 16/09/2008 21 © 2008 Global Knowledge Training LLC. All rights reserved
  22. 22. CONTENIDOS DE LA NORMA Anexo A: Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005 Anexo B: Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Anexo C: Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001. Anexo D: Bibliografía: normas y publicaciones de referencia. 16/09/2008 22 © 2008 Global Knowledge Training LLC. All rights reserved
  23. 23. DETALLES Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: • Valoración de riegos (Risk Assesment) • SGSI • Controles 16/09/2008 23 © 2008 Global Knowledge Training LLC. All rights reserved
  24. 24. VALORACIÓN DE LOS RIESGOS Puede ser desarrollada con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos. • El impacto que podría ocasionar un problema sobre cada uno. • Conjunto de acciones que pueden realizarse (agrupadas). • Propuesta de varios cursos de acción posibles (Máx, inter1/2s, mín). • Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. 16/09/2008 24 © 2008 Global Knowledge Training LLC. All rights reserved
  25. 25. Análisis de Riesgos El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos – Introduce un grado importante de objetividad – Permite a la organización gestionar sus riesgos por sí mismos – Apoyar la toma de decisiones basándose en los riesgos propios – Centrarse en proteger los activos importantes – Formar y comunicar los aspectos de la seguridad necesarios Control de los riesgos Disminución del riesgo Riesgo conocido y asumido Vigilancia del nivel de riesgo. por la compañía 16/09/2008 25 © 2008 Global Knowledge Training LLC. All rights reserved
  26. 26. Análisis de Riesgos. Definiciones 16/09/2008 26 © 2008 Global Knowledge Training LLC. All rights reserved
  27. 27. Análisis de Riesgos. Relaciones Explota Amenazas Vulnerabilidades Afecta a Protegen Aumenta contra Aumenta Disminuye Riesgo Salvaguardas Activos Aumenta Satisfecho Indica Tiene por Requisitos de Valor de activos seguridad 16/09/2008 27 © 2008 Global Knowledge Training LLC. All rights reserved
  28. 28. Análisis de Riesgos. Relaciones Dir. Transversal, Dir. Equipos obsoletos, Hackers, Sabotajes, Explota Buff. Overflow, Buff. Overflow, Buff. Overrun, Buff. Overrun, Virus, Phising, Unauthorized mail access, access, Spam, Averías, etc. Priv. Escalation, DoS, Escalation, DoS, Falta formación, formació Afecta a Protegen Aumenta Open Relay, etc. Relay, contra Aumenta Cluster, Antivirus, Disminuye Antispam, Backup Riesgo eMail Respaldo, Formación, etc. Aumenta Satisfecho Indica Tiene por Requisitos de Valor del eMail seguridad 16/09/2008 28 © 2008 Global Knowledge Training LLC. All rights reserved
  29. 29. Análisis de Riesgos. Metodologías de Análisis de Riesgos • NIST SP800-30(NIST-USA). • MAGERIT • IT Baseline Protection Manual (BSI - Alemania). • CRAMM (Siemens Insight Consulting - UK) • OCTAVE (SEI Carnegie Mellon University - US). • EBIOS (DCSSI-Francia). • MÉHARI (Méthode Harmonisée d’Analyse de Risques Informatiques). 565 €, herramienta RISICARE (≈9200€+565€ formación extranjero) • Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc. 16/09/2008 29 © 2008 Global Knowledge Training LLC. All rights reserved
  30. 30. RESPONSABILIDADES DE LA DIRECCIÓN Compromiso Recursos Formación preparación competencia 16/09/2008 30 © 2008 Global Knowledge Training LLC. All rights reserved
  31. 31. COMPROMISO DE LA DIRECCIÓN La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas) Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de la empresa. Y ahí sí sabrá elegir cual es el mejor curso de Acción que deberá adoptar para su Negocio global (si se lo ha sabido presentar debidamente). Por lo tanto el trabajo importante es saber resumir/concretar la tarea de muchas semanas o meses que conlleva esta actividad, entre 3 a 6 CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, encontrar todos los medios de llevar adelante esta determinación (y por supuesto, generar el correspondiente “feedback”) 16/09/2008 31 © 2008 Global Knowledge Training LLC. All rights reserved
  32. 32. Gestión de la Seguridad . ISO 27001 Definir el alcance del SGSI Definir la política del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005 Planificar Implantar las Establecer mejoras Definir e implantar el SGSI plan de gestión de Adoptar acciones Actuar Hacer riesgos preventivas y correctivas Implantar Mantener y Implantar y controles Comunicar acciones Mejorar el SGSI Operar el SGSI seleccionados y sus y resultados indicadores Verificar que las Comprobar Implantar el mejoras cumplen su Sistema de Gestión objetivo Monitorizar y Revisar el SGSI Desarrollar procedimientos de monitorización Revisar regularmente el SGSI Revisar los niveles de riesgo 16/09/2008 32 © 2008 Global Knowledge Training LLC. All rights reserved Auditar internamente el SGSI
  33. 33. Gestión de la Seguridad . Criterios de éxito para la implantación de un SGSI Las recomendaciones de la norma Política de seguridad coherente con los objetivos de negocio 1. Un sistema consistente con la cultura de la organización 2. Un buen análisis de los requerimientos de seguridad 3. Buena comunicación de la seguridad a todo el personal 4. Métricas e indicadores que permitan saber cómo funciona el SGSI 5. Distribución de guías de seguridad 6. Soporte de la dirección 7. Recursos 8. Formación y concienciación 9. Gestión de incidentes 10. 16/09/2008 33 © 2008 Global Knowledge Training LLC. All rights reserved
  34. 34. SGSI En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Punto 4.1. Requerimientos generales: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un SGSI documentado en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, el proceso está basado en el modelo PDCA. 16/09/2008 34 © 2008 Global Knowledge Training LLC. All rights reserved
  35. 35. SGSI Punto 4.3.2. Control de documentos: Todos los documentos requeridos por el SGSI serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para: •Aprobar documentos y prioridades o clasificación de empleo •Revisiones, actualizaciones y reaprobaciones de documentos •Asegurar que los cambios y las revisiones sean identificadas •Asegurar que las últimas versiones estén disponibles •Asegurar que los documentos permanezcan legibles e identificables •Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente clasificados •Asegurar que los documentos de origen externo sean identificados •Asegurar el control de la distribución de documentos •Prevenir el empleo no deseado de documentos obsoletos 16/09/2008 35 © 2008 Global Knowledge Training LLC. All rights reserved
  36. 36. LOS CONTROLES • Son mecanismos que chequean estado de las TI en términos de cómo proporcionan valor y de cómo se gestiona el riesgo. • La perspectiva con la que tanto TI como la dirección deben verlos: – No son un mal obligatorio por ley o una obligación que viene del dpto. de Seguridad de la Información – No son sólo necesarios, generan resultados positivos cuando se ejecutan correctamente 16/09/2008 36 © 2008 Global Knowledge Training LLC. All rights reserved
  37. 37. CONTROLES EN ANEXO A Este anexo los numera de la siguiente manera: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas 16/09/2008 37 © 2008 Global Knowledge Training LLC. All rights reserved
  38. 38. 16/09/2008 38 © 2008 Global Knowledge Training LLC. All rights reserved
  39. 39. ALGUNOS EJEMPLOS A.9 Physical and environmental security A.9.1 Secure areas Objective: To prevent unauthorized physical access, damage and interference to the organization premises and information A.9.1.1 Physical Security perimeter CONTROL: Security perimeters (barriers such as walls, card controlled and entry gates or manned reception desks) shall be used to protect areasthat contain information and information processing facilities A.9.1.2 Physical entry controls CONTROL: Secure areas shall be protected by appropiate entry controls to ensure that only authorized personnel are allowed access A.9.1.3 Securing offices, rooms CONTROL: Physical security for offices, rooms and facilities and facilities shall be designed and applied …… 16/09/2008 39 © 2008 Global Knowledge Training LLC. All rights reserved
  40. 40. ISO 27002 Código de buenas prácticas para la gestión de la seguridad de los sistemas de información 16/09/2008 40 © 2008 Global Knowledge Training LLC. All rights reserved
  41. 41. 16/09/2008 41 © 2008 Global Knowledge Training LLC. All rights reserved
  42. 42. ISO 27002 - Tipos de controles Prevención Riesgo Detección Incidente Contención Daños Corrección Evaluación Recuperación 16/09/2008 42 © 2008 Global Knowledge Training LLC. All rights reserved
  43. 43. 16/09/2008 43 © 2008 Global Knowledge Training LLC. All rights reserved
  44. 44. ¿Cómo decidir qué controles debo usar? Confirmar lo relevante de los controles a través de una valoración de riesgos Definir claramente los objetivos, asegurando que se alinean con el negocio: - Usar indicadores que existan, tipo KPIs de ITIL Para la auditoría del SGSI identificar controles que se puedan monitorizar continuamente mediante herramienteas elegidas Antes de usar ninguna herramienta confirmar los objetivos con la dirección y con terceros contratados a través de SLAs/OLAs 16/09/2008 44 © 2008 Global Knowledge Training LLC. All rights reserved
  45. 45. Gestión de la Seguridad . Factores de éxito Orientación al negocio Liderazgo de la dirección Participación del personal Seguridad basada en riesgo Enfoque basado en procesos, no en productos Enfoque de sistema de gestión Medición y mejora continua Toma de decisión basada en hechos Gestión planificada de incidentes 16/09/2008 45 © 2008 Global Knowledge Training LLC. All rights reserved
  46. 46. ISO 27001/27002 BENEFICIOS • Alineamiento con la serie ISO 9000 de gestión de calidad • Asegura una gran consistencia en la gestión de los sistemas de información • Cohesión internacional • Reconocimiento profesional • Beneficios frente a administraciones públicas OBSTACULOS • Aceptación y despegue internacional • Soporte y acuerdos a nivel nacional 16/09/2008 46 © 2008 Global Knowledge Training LLC. All rights reserved
  47. 47. 5- IMPLANTACIÓN Y CERTIFICACIÓN Auditoría / evaluación inicial Análisis de riesgos Consultora Selección de controles PROYECTO DE IMPLANTACION Y Desarrollo e implantación del SGSI CERTIFICACION DE SGSI Auditoría interna Corrección de no conformidades Certificadora Auditoría de certificación 16/09/2008 47 © 2008 Global Knowledge Training LLC. All rights reserved
  48. 48. Proceso a seguir 16/09/2008 48 © 2008 Global Knowledge Training LLC. All rights reserved
  49. 49. DETERMINACIÓN DE RIESGOS 16/09/2008 49 © 2008 Global Knowledge Training LLC. All rights reserved
  50. 50. 16/09/2008 50 © 2008 Global Knowledge Training LLC. All rights reserved
  51. 51. 16/09/2008 51 © 2008 Global Knowledge Training LLC. All rights reserved
  52. 52. SOLICITUD + MANUAL+ PROCEDIMIENTOS REVISIÓN DE DOCUMENTACIÓN DOC. NO COMPLETA Y ADECUADA SI AUDITORÍA INICIAL SI ACCIONES CORRECTORAS VALIDAS PETICIÓN DE NUEVAS ACCIONES CORRECTORAS CONCESIÓN DEL CERTIFICADO NO Y/O VISITA EXTRAORDINARIA AUDITORÍA DE SEGUIMIENTO (ANUAL) SI ACCIONES CORRECTORAS VALIDAS PETICIÓN DE NUEVAS VALIDACIÓN DEL NO ACCIONES CORRECTORAS CERTIFICADO Y/O VISITA EXTRAORDINARIA AUDITORÍA DE RENOVACIÓN 16/09/2008 52 (TRIANUAL) © 2008 Global Knowledge Training LLC. All rights reserved
  53. 53. 16/09/2008 53 © 2008 Global Knowledge Training LLC. All rights reserved
  54. 54. 16/09/2008 54 © 2008 Global Knowledge Training LLC. All rights reserved
  55. 55. ¿Alguna pregunta? Gabriel Díaz Orueta 16/09/2008 55 © 2008 Global Knowledge Training LLC. All rights reserved
  56. 56. REFERENCIAS • http://www.iso.org/iso/home.htm • http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html • http://www.standardsglossary.com/ • http://en.wikipedia.org/wiki/ISO_27000 • http://www.27000-toolkit.com/ • http://www.iso27001security.com/ • http://www.praxiom.com/27001.htm • http://www.information-security-policies-and standards.com/standard/index.htm • http://www.informationshield.com/iso17799.html • http://www.isaca.com/cobit • http:// www.itil.co.uk 16/09/2008 56 © 2008 Global Knowledge Training LLC. All rights reserved
  57. 57. Muchas gracias a todos 16/09/2008 57 © 2008 Global Knowledge Training LLC. All rights reserved

×