• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Iso 27001
 

Iso 27001

on

  • 1,862 views

Iso 27001......Urquia Marin V.

Iso 27001......Urquia Marin V.

Statistics

Views

Total Views
1,862
Views on SlideShare
1,856
Embed Views
6

Actions

Likes
0
Downloads
31
Comments
0

1 Embed 6

https://twitter.com 6

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Iso 27001 Iso 27001 Document Transcript

    • ISO 27001 La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre. Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y nos aporta mucha más información en relación a indicadores y como mapearlos a nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles de madurez propuestos para cada proceso. No olvidemos, de entre todas las metodologías, aquellas orientadas a asegurar la seguridad de la información, como requisito indispensable dentro de una organización que gestiona datos y por tanto debe asegurar su confidencialidad, integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la familia de la serie 27000, y por tanto el punto de referencia.
    • El estándar ISO 27001 cubre de forma efectiva 11 secciones: • Política de Seguridad • Organización de la Seguridad de la Información • Gestión de Activos • Seguridad ligada a Recursos Humanos • Seguridad Física y del Entorno • Gestión de Comunicaciones y Operaciones • Control de Accesos • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información • Gestión de Incidentes de Seguridad de la Información • Gestión de la Continuidad de Negocio • Conformidad El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas . Cuáles son los beneficios • Algunas licitaciones internacionales empiezan a • solicitar una gestión ISO 27001. • Reducción de los costos vinculados a incidentes. • Posibilidad de disminución de las primas de seguro. • Mejora del conocimiento de los sistemas de información, • sus problemas y los medios de protección. • Mejora de la disponibilidad de los materiales y datos. • Protección de la información. ¿La norma ISO 27001 es aplicable a toda la industria? Sí, todas las organizaciones tienen el activo de la información y pueden beneficiarse de una puesta en práctica y certificación de un Sistema de Gestión de Seguridad de la Información. ¿La ISO 27001 afecta solo a IT? No, ISO 27001 cubre todos los aspectos de intercambio de información, desde datos de ordenador a conversaciones en áreas públicas, incluyendo los perímetros de seguridad y el nivel inicial de acceso del personal. v La norma le ayudará a asegurar la continuidad de su negocio en casi todas las circunstancias, como incendios, inundaciones, hackers, pérdida de datos, violación de confidencialidad y terrorismo. c v Una organización tiene la posibilidad de implantar una política de seguridad de la información que cubra toda clase de comunicación y almacenamiento de datos. La ISO 27001 es la espina dorsal de los datos y de su información.
    • Por que es necesaria la seguridad de la informacion La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen importantes recursos para la empresa SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservación de las características de confidencialidad , integridad y disponibilidad. Principios de Seguridad Informática Confidencialidad Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. Factores de riesgo Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc. Factores tecnológicos de riesgo Virus informáticos: Definición Un virus informático es un programa (código) que se replica, añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
    • Factores humanos de riesgo Hackers Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos: • Probar que tienen las competencias para invadir un sistema protegido. • Probar que la seguridad de un sistema tiene fallas. Mecanismos de Seguridad Informática Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático. Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan. Normas y Metodologías aplicables  Information Systems and Audit Control Association - ISACA: COBIT  British Standards Institute: BS  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sans Institute, Security Focus, etc  Sarbanes Oxley Act, Basilea II, HIPAA Act,  Leyes NACIONALES  OSSTMM, ISM3, ISO17799:2005, ISO27001  BS 25999  DRII