SlideShare una empresa de Scribd logo
1 de 5
Descargar para leer sin conexión
ISO 27001

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la
Información que permite a una organización evaluar su riesgo e implementar controles
apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de
la información.

El objetivo fundamental es proteger la información de su organización para que no caiga
en manos incorrectas o se pierda para siempre.


Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener
una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
información y el alcance, entendiendo por alcance el ámbito de la organización que va a
estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante
SGSI) elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las normativas
legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de
desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de
desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un
acercamiento progresivo a la seguridad de la información mediante la aplicación de las
buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de
implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas
las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección
y asesorado por consultores externos especializados en seguridad informática, derecho
de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de
especialización en la materia) y sistemas de gestión de seguridad de la información (que
hayan realizado un curso de implantador de SGSI).



Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener
en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya
que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y
nos aporta mucha más información en relación a indicadores y como mapearlos a
nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles
de madurez propuestos para cada proceso.

No olvidemos, de entre todas las metodologías, aquellas orientadas a
asegurar la seguridad de la información, como requisito indispensable dentro de
una organización que gestiona datos y por tanto debe asegurar su confidencialidad,
integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión
de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la
familia de la serie 27000, y por tanto el punto de referencia.
El estándar ISO 27001 cubre de forma efectiva 11 secciones:

       •   Política de Seguridad
       •   Organización de la Seguridad de la Información
       •   Gestión de Activos
       •   Seguridad ligada a Recursos Humanos
       •   Seguridad Física y del Entorno
       •   Gestión de Comunicaciones y Operaciones
       •   Control de Accesos
       •   Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
       •   Gestión de Incidentes de Seguridad de la Información
       •   Gestión de la Continuidad de Negocio
       •   Conformidad

El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de
identificar posibles diferencias con los requisitos que marca el estándar. Una vez las
diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el
transcurso de la auditoría no se localizan no conformidades mayores o cuando los
posibles problemas identificados tengan definidos unas medidas correctivas .


Cuáles son los beneficios

   •   Algunas licitaciones internacionales empiezan a
   •   solicitar una gestión ISO 27001.
   •   Reducción de los costos vinculados a incidentes.
   •   Posibilidad de disminución de las primas de seguro.
   •   Mejora del conocimiento de los sistemas de información,
   •   sus problemas y los medios de protección.
   •   Mejora de la disponibilidad de los materiales y datos.
   •   Protección de la información.

¿La norma ISO 27001 es aplicable a toda la industria?
Sí, todas las organizaciones tienen el activo de la información y
pueden beneficiarse de una puesta en práctica y certificación de un
Sistema de Gestión de Seguridad de la Información.

¿La ISO 27001 afecta solo a IT?
No, ISO 27001 cubre todos los aspectos de intercambio de información,
desde datos de ordenador a conversaciones en áreas
públicas, incluyendo los perímetros de seguridad y el nivel inicial de
acceso del personal. v
La norma le ayudará a asegurar la continuidad de su negocio en casi
todas las circunstancias, como incendios, inundaciones, hackers,
pérdida de datos, violación de confidencialidad y terrorismo. c
v
Una organización tiene la posibilidad de implantar una política de
seguridad de la información que cubra toda clase de comunicación
y almacenamiento de datos.
La ISO 27001 es la espina dorsal de los datos y de su información.
Por que es necesaria la seguridad de la informacion

La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen
importantes recursos para la empresa

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Es un sistema de gestión que comprende la política, estructura organizativa,
procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad
de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el
ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el
cual se centra en la preservación de las características de confidencialidad , integridad y
disponibilidad.


Principios de Seguridad Informática

Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y procesados en
un sistema informático.
Basándose en este principio, las herramientas de seguridad informática deben proteger al
sistema de invasiones, intrusiones y accesos, por parte de personas o programas no
autorizados.
Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos
en los que usuarios, computadores y datos residen en localidades diferentes, pero están
física y lógicamente interconectados.

Factores de riesgo

Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos,
suciedad, humedad, calor, entre otros.
Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el
servicio eléctrico, ataque por virus informáticos, etc.
Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración,
etc.

Factores tecnológicos de riesgo

Virus informáticos: Definición
Un virus informático es un programa (código) que se replica, añadiendo una copia de sí
mismo a otro(s) programa(s).
Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta
que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta
la pérdida total del sistema.
Factores humanos de riesgo

Hackers
Los hackers son personas con avanzados conocimientos técnicos en el área informática y
que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso
autorizado.
En general, los hackers persiguen dos objetivos:
   • Probar que tienen las competencias para invadir un sistema protegido.
   • Probar que la seguridad de un sistema tiene fallas.

Mecanismos de Seguridad Informática

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para
fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.
Existen muchos y variados mecanismos de seguridad informática. Su selección depende
del tipo de sistema, de su función y de los factores de riesgo que lo amenazan.

Normas y Metodologías aplicables

      Information Systems and Audit Control Association - ISACA: COBIT
      British Standards Institute: BS
      International Standards Organization: Normas ISO
      Departamento de Defensa de USA: Orange Book / Common Criteria
      ITSEC – Information Technology Security Evaluation Criteria: White Book
      Sans Institute, Security Focus, etc
      Sarbanes Oxley Act, Basilea II, HIPAA Act,
      Leyes NACIONALES
      OSSTMM, ISM3, ISO17799:2005, ISO27001
      BS 25999
      DRII
Iso 27001

Más contenido relacionado

La actualidad más candente (20)

Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 

Destacado

Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Santiago Bonet
 
EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)davidlokito182
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNstandarman
 
Estándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesJose Adalberto Cardona Ortiz
 

Destacado (7)

Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)
 
EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)EstáNdares Y Sistemas De GestióN De Calidad(1)
EstáNdares Y Sistemas De GestióN De Calidad(1)
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
 
Normas y estandares
Normas y estandaresNormas y estandares
Normas y estandares
 
Estándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de RedesEstándares, Modelos y Normas Internacionales de Redes
Estándares, Modelos y Normas Internacionales de Redes
 

Similar a Iso 27001

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad17oswaldo
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptxcirodussan
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 

Similar a Iso 27001 (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Conferencia
ConferenciaConferencia
Conferencia
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Conferencia
ConferenciaConferencia
Conferencia
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptx
 
iso 27001.pptx
iso 27001.pptxiso 27001.pptx
iso 27001.pptx
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 

Último

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Festibity
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 

Último (14)

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 

Iso 27001

  • 1. ISO 27001 La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre. Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y nos aporta mucha más información en relación a indicadores y como mapearlos a nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles de madurez propuestos para cada proceso. No olvidemos, de entre todas las metodologías, aquellas orientadas a asegurar la seguridad de la información, como requisito indispensable dentro de una organización que gestiona datos y por tanto debe asegurar su confidencialidad, integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la familia de la serie 27000, y por tanto el punto de referencia.
  • 2. El estándar ISO 27001 cubre de forma efectiva 11 secciones: • Política de Seguridad • Organización de la Seguridad de la Información • Gestión de Activos • Seguridad ligada a Recursos Humanos • Seguridad Física y del Entorno • Gestión de Comunicaciones y Operaciones • Control de Accesos • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información • Gestión de Incidentes de Seguridad de la Información • Gestión de la Continuidad de Negocio • Conformidad El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas . Cuáles son los beneficios • Algunas licitaciones internacionales empiezan a • solicitar una gestión ISO 27001. • Reducción de los costos vinculados a incidentes. • Posibilidad de disminución de las primas de seguro. • Mejora del conocimiento de los sistemas de información, • sus problemas y los medios de protección. • Mejora de la disponibilidad de los materiales y datos. • Protección de la información. ¿La norma ISO 27001 es aplicable a toda la industria? Sí, todas las organizaciones tienen el activo de la información y pueden beneficiarse de una puesta en práctica y certificación de un Sistema de Gestión de Seguridad de la Información. ¿La ISO 27001 afecta solo a IT? No, ISO 27001 cubre todos los aspectos de intercambio de información, desde datos de ordenador a conversaciones en áreas públicas, incluyendo los perímetros de seguridad y el nivel inicial de acceso del personal. v La norma le ayudará a asegurar la continuidad de su negocio en casi todas las circunstancias, como incendios, inundaciones, hackers, pérdida de datos, violación de confidencialidad y terrorismo. c v Una organización tiene la posibilidad de implantar una política de seguridad de la información que cubra toda clase de comunicación y almacenamiento de datos. La ISO 27001 es la espina dorsal de los datos y de su información.
  • 3. Por que es necesaria la seguridad de la informacion La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen importantes recursos para la empresa SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservación de las características de confidencialidad , integridad y disponibilidad. Principios de Seguridad Informática Confidencialidad Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. Factores de riesgo Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc. Factores tecnológicos de riesgo Virus informáticos: Definición Un virus informático es un programa (código) que se replica, añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
  • 4. Factores humanos de riesgo Hackers Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos: • Probar que tienen las competencias para invadir un sistema protegido. • Probar que la seguridad de un sistema tiene fallas. Mecanismos de Seguridad Informática Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático. Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan. Normas y Metodologías aplicables  Information Systems and Audit Control Association - ISACA: COBIT  British Standards Institute: BS  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sans Institute, Security Focus, etc  Sarbanes Oxley Act, Basilea II, HIPAA Act,  Leyes NACIONALES  OSSTMM, ISM3, ISO17799:2005, ISO27001  BS 25999  DRII