Your SlideShare is downloading. ×
Exposicion iso 27000
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Exposicion iso 27000

684
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
684
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
59
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ISO 27000 ASEGURAMIENTO DE LA CALIDAD DE LA INFORMACIÓN JORGE DAVID ALFONSO JEISSON GIOVANNY GUCHUBO JUAN SEBASTIÁN ZORRO RODRÍGUEZ
  • 2. AGENDA  ¿Qué es ISO 27000?  Origen  La serie 27000  Beneficios  ¿Cómo adaptarse?   Planificación  Implementación  Seguimiento   Arranque del proyecto Mejora continua Aspectos clave
  • 3. ¿QUÉ ES ISO 27000?  ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 4. ORIGEN
  • 5. Serie ISO 27000 ISO/IEC 27000: Publicada el 1 de mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información ISO/IEC TR 27001: Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información, es la norma con arreglo a la cual se certifican por auditores externos los SGSI(Sistemas de gestión de seguridad de la información).
  • 6. Serie ISO 27000 ISO/IEC 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI ISO/IEC 27003: Publicada el 01 de Febrero de 2010. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI
  • 7. Serie ISO 27000 ISO/IEC 27005: Publicada el 1 de Junio de 2011. Proporciona directrices para la gestión del riesgo en la seguridad de la información. está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. ISO/IEC 27006: Publicada el 1 de Diciembre de 2011. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
  • 8. Serie ISO 27000 ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27008: Publicada el 15 de Octubre de 2011. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones
  • 9. Serie ISO 27000 ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). ISO/IEC TR 27019: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía. ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002.
  • 10. ISO/IEC 27034  Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsión de publicación).
  • 11. ISO/IEC 27035  Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. El original en inglés puede adquirirse en iso.org.
  • 12. ISO/IEC 27036  En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 270363, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).
  • 13. ISO/IEC 27037  Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
  • 14. ISO/IEC 27038  En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital.
  • 15. ISO/IEC 27039  En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). ISO/IEC 27040  En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento. ISO/IEC 27041  En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación.
  • 16. ISO/IEC 27042  En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. ISO/IEC 27043  En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación. ISO/IEC 27044  En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - (SIEM).
  • 17. ISO/IEC 27799  Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNEISO/IEC 27799:2010 y puede adquirirse online en AENOR
  • 18. COSTES-BENEFICIOS Costes *Gestión de proyectos, recursos del proyecto. *El cambio organizacional requiere recursos de la organización. *Diseño, desarrollo, pruebas , implementación *Certificación y visitas de seguimiento. *Operación y mantenimiento en curso. *Reduce los riesgos de seguridad de información *Reduce la probabilidad de impacto de los incidentes de la seguridad *La certificación de un estándar internacional. *Ventajas de marketing/marca *Enfoque coherente, estructurado *Evaluación integral de riesgos Beneficios
  • 19. ¿Cómo Adaptarse? ARRANQUE DEL PROYECTO Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección. Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
  • 20. PLANIFICACIÓN 1. Definir alcance del SGSI 2. Definir política del SGSI 3. Definir el enfoque de evaluación de riesgos 4. Inventario de activos 5. Identificar amenazas y vulnerabilidades 6. Identificar los impactos 7. Análisis y evaluación de los riesgos 8. Identificar y evaluar opciones para el tratamiento del riesgo 9. Selección de controles 10. Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI 11. Confeccionar una Declaración de Aplicabilidad ¿Cómo Adaptarse?
  • 21. ¿Cómo Adaptarse? IMPLEMENTACIÓN 1. 2. 3. 4. 5. 6. Definir plan de tratamiento de riesgos Implantar plan de tratamiento de riesgos Implementar los controles Formación y concienciación Desarrollo del marco normativo necesario Gestionar las operaciones del SGSI y todos los recursos que se le asignen 7. Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad
  • 22. ¿Cómo Adaptarse? SEGUIMIENTO  Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.  Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.  Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.  Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
  • 23. ¿Cómo Adaptarse? MEJORA CONTINUA  Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.  Acciones correctivas: para conformidades detectadas.  Acciones preventivas: para prevenir potenciales no conformidades.  Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.  Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre. solucionar no
  • 24. ASPECTOS CLAVE Fundamentales  Compromiso y apoyo de la Dirección de la organización.  Definición clara de un alcance apropiado.  Concienciación y formación del personal.  Evaluación de riesgos adecuada a la organización.  Compromiso de mejora continua.  Establecimiento de políticas y normas.  Organización y comunicación.  Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización.  Integración del SGSI en la organización.
  • 25. ASPECTOS CLAVE Riesgos  Exceso de tiempos de implantación: con los consecuentes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. costes  Temor ante el cambio: resistencia de las personas.  No asumir que la seguridad de la información es inherente a los procesos de negocio.  Planes de formación y concienciación inadecuados.  Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.  Falta de comunicación de los progresos al personal de la organización.
  • 26. ASPECTOS CLAVE Factores de Éxito  La concienciación del empleado por la seguridad. Principal objetivo a conseguir.  Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos.  Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).  La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.  La seguridad no es un producto, es un proceso.  La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.  La seguridad debe ser inherente a los procesos de información y del negocio.
  • 27. ASPECTOS CLAVE Consejos Básicos  Mantener la sencillez y restringirse a un alcance manejable y reducido.  Comprender en detalle el proceso de implantación.  Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.  La autoridad y compromiso decidido de la Dirección de la empresa.    La certificación como objetivo. No reinventar la rueda. Reservar la dedicación necesaria diaria o semanal.  Registrar evidencias.  Mantenimiento y mejora continua.
  • 28. ACTIVIDAD  http://www.educaplay.com/es/recursoseducativos/1110685/iso_27000.ht m