Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTA...
NORMA ISO 27000
Conceptos asociados a ISO 27000
Normas ISO 27000: Familia de
estándares de ISO e IEC que
proporciona un ma...
¿QUÉ ES LA INFORMACIÓN?
La Academia Latinoamericana de
Seguridad Informática (2.004) destaca al
respecto que “la informaci...
SEGURIDAD DE LA INFORMACIÓN
Explica que “la seguridad de la información
son las medidas adoptadas para evitar el uso no
au...
Los datos de carácter personal son un subconjunto del activo más
importante que Maneja una empresa:
SEGURIDAD DE LA INFORM...
SEGURIDAD DE LA INFORMACIÓN
Click to add Title
Los objetivos principales de la serie 27000 son la protección de la
informa...
SEGURIDAD DE LA INFORMACIÓN
En las normas ISO 27001, el concepto del sistema de gestión es común
estableciendo sinergia y ...
SEGURIDAD DE LA INFORMACIÓN
En las normas ISO 27001, el concepto del sistema de gestión es
común estableciendo sinergia y ...
SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
El SGSI (Sistema de Gestión de Seguridad de la Información) es el
con...
¿PARA QUÉ SIRVE UN SGSI?
RIESGOS
AMENAZAS
CONTROLES
REQUERIMIENTOS
DE
SEGURIDAD
Imponen
Marcan
Disminuyen
Aumentan
Protege...
EVOLUCIÓN DE LA NORMATIVA
ISO 27000
BSI (British Standards Institution): Organización británica responsable de la
publicac...
EVOLUCIÓN DE LA NORMATIVA ISO
27000
En 2005, con más de 1700 empresas certificadas en BS7799-2, el
esquema se publicó por ...
2012
ISO/IEC 27010: 2012
ISO/IEC 27013: 2012
ISO/IEC TR 27015: 2012
2007
ISO/IEC 27002: 2005
ISO/IEC 27006: 2007
2009
ISO/...
EVOLUCIÓN DE LA NORMATIVA
ISO 27000
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable...
EVOLUCIÓN
ISO/IEC 27011: guía de
gestión de seguridad de la
información específica para
telecomunicaciones
ISO/IEC 27006: ...
EVOLUCIÓN DE LA NORMATIVA
ISO 27000
Diagrama de relación de la reorganización de las cláusulas principales
de la versión 2...
Enfoque del análisis del
riesgo de l afase de
planificación y operación
NUEVA
ISO 27001: 2013
NUEVA ISO 27001: 2013
NUEVA ISO 27001: 2013
SGSI
Estudio de
situación actual
en aspectos
de seguridad
Mantenimiento,
evaluacióny
planes de mejor...
ISO 27001
“Norma que especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, ma...
PLANIFICAR
(Creación del SGSI
Definir las políticas, objetivos,
procesos y procedimientos del SGSI
relevantes para gestion...
VENTAJAS
Garantizar la confidencialidad,
integridad y disponibilidad
de información sensible
Disminuir el riesgo con la
co...
VENTAJAS
Mejorar la implicación y
participación del
personal en la gestión
de la seguridad
Reducir los costos asociados
a ...
DEFINICIÓN DE POLÍTICAS,
ORGANIZACIÓN Y ALCANCES
DISEÑO DEL SGSI
La implantación de un SGSI debe comenzar con el correcto diseño
Para ello debemos definir
cuatro aspectos ...
La implantación de un SGSI debe comenzar con el correcto diseño
Primero: definir el alcance del
sistema. Qué partes o proc...
La implantación de un SGSI debe comenzar con el correcto diseño
Qué tecnología de la empresa se
incluirán y qué áreas qued...
POLÍTICAS DE SEGURIDAD
Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad
Recoger la...
POLÍTICAS DE SEGURIDAD
En función a las responsabilidades se decidirá quién está autorizado a acceder a qué
tipo de inform...
ORGANIZACIÓN DE LA SEGURIDAD
La organización de la seguridad es otro aspecto de immportnacia durante el diseño
del SGSI
1
...
ALCANCES
Para determinar el alcance y límites del SGSI se debe especificar las
características de la organización, su ubic...
El alcance, con todas las características debe
estar documentado.
2
3
45
1
La organización debe determinar los
límites y a...
COMPATIBILIDAD
"ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTA...
Upcoming SlideShare
Loading in …5
×

Norma ISO 27000

2,223 views

Published on

Norma ISO 27000

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Norma ISO 27000

  1. 1. NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014
  2. 2. NORMA ISO 27000 Conceptos asociados a ISO 27000 Normas ISO 27000: Familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la Información Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
  3. 3. ¿QUÉ ES LA INFORMACIÓN? La Academia Latinoamericana de Seguridad Informática (2.004) destaca al respecto que “la información es el objeto de mayor valor para las empresas”. Platos Motor Cabeza lectora “La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto necesita ser protegido” ISO / IEC 27001:2005
  4. 4. SEGURIDAD DE LA INFORMACIÓN Explica que “la seguridad de la información son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, Datos o capacidades”. Maiwald (2005) Regula a nivel legal una parte importante de los Sistemas de Información de la empresa, los datos de carácter personal. Ley Orgánica de Protección de Datos (LOPD) Marco Regulatorio Especifica controles técnicos, físicos y organizativos para garantizar la Protección de citados datos. Reglamento de Desarrollo RD1720/2007
  5. 5. Los datos de carácter personal son un subconjunto del activo más importante que Maneja una empresa: SEGURIDAD DE LA INFORMACIÓN Planes estratégicos, salario del personal, operaciones financieras Site público de la empresa, Publicidad Ofertas comerciales, ERP, contabilidad, planes ejecutivos Empleados, pacientes, clientes
  6. 6. SEGURIDAD DE LA INFORMACIÓN Click to add Title Los objetivos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garantizando la: 1 Confidencialidad 2 Integridad 3 Disponibilidad La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva: ISO 27002 (ISO) 17799 Guía de Buenas Prácticas ISO 27000: Términos y Definiciones ISO27001: Requerimientos del SGSI
  7. 7. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: Manual de Calidad y Seguridad Procesos/ Procedimientos Operativos Generales Registros de Calidad y Seguridad Instrucciones de Trabajo Específicas
  8. 8. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: MANUAL DE SEGURIDAD PROCEDIMIENTOS INSTRUCCIONES – CHECKLIST - FORMULARIOS REGISTROS
  9. 9. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 INFORMACIÓN DATOS
  10. 10. ¿PARA QUÉ SIRVE UN SGSI? RIESGOS AMENAZAS CONTROLES REQUERIMIENTOS DE SEGURIDAD Imponen Marcan Disminuyen Aumentan Protegen de VULNERABILIDAD ACTIVOS VALOR DE LOS ACTIVOS Impactan si se materializan Aumentan Tienen Aumentan Exponen Aprovechan
  11. 11. EVOLUCIÓN DE LA NORMATIVA ISO 27000 BSI (British Standards Institution): Organización británica responsable de la publicación de importantes normas como: (BS 7799-1): es una guía de buenas prácticas, para la que no se establece un esquema de certificación (BS 7799-2): publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, como ISO 17799 en el año 2000 En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión 1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 Publica a norma BS 7799 en 1995: conjunto de buenas prácticas para la gestión de la seguridad de su información
  12. 12. EVOLUCIÓN DE LA NORMATIVA ISO 27000 En 2005, con más de 1700 empresas certificadas en BS7799-2, el esquema se publicó por ISO como estándar ISO 27001. 1995 BS 7799 Parte 1 Código de Buenas Prácticas 1998 BS 7799 Parte 2 Especificación del SGSI 1999 BS 7799-1 1999 BS 7799-2 1999 Revolución de las partes 1 y 2 2000 ISO/IEC 17799:2000 Parte 1 se adopta como ISO 2002 BS 7799-2: 2002 Revisión de la parte 2 Junio 2005 ISO/IEC 17799: 2000 Revisión de ISO 17999 Octubre 2005 ISO/IEC 27001 Parte 2 se adopta como ISO HISTORIA DE ISO 27001
  13. 13. 2012 ISO/IEC 27010: 2012 ISO/IEC 27013: 2012 ISO/IEC TR 27015: 2012 2007 ISO/IEC 27002: 2005 ISO/IEC 27006: 2007 2009 ISO/IEC 27031: 2009 ISO/IEC 27004: 2009 ISO/IEC 27033: 2009 2008 ISO/IEC 27005: 2008 ISO/IEC 27011: 2008 ISO/IEC 27799: 2008 2011 ISO/IEC 27035: 2011 ISO/IEC 27031: 2011 ISO/IEC 27005: 2011 ISO/IEC 27006: 2011 ISO/IEC 27007: 2011 ISO/IEC TR 27008: 2011 ISO/IEC 27034: 2011 2010 ISO/IEC 27003: 2010 EVOLUCIÓN DE LA NORMATIVA ISO 27000
  14. 14. EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000 Puntos clave: Gestión de riesgos + Mejora continua Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes Sigue un modelo PDCA (Plan-Do-Check-Act) ISO/IEC 27001
  15. 15. EVOLUCIÓN ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001 ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27032: guía de seguridad en aplicaciones ISO/IEC 27003: guía de implementación de SGSI e información EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicable para la eficacia el SGSI ISO/IEC 27005: gestión de riesgos de seguridad de la información ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones
  16. 16. EVOLUCIÓN DE LA NORMATIVA ISO 27000 Diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013
  17. 17. Enfoque del análisis del riesgo de l afase de planificación y operación NUEVA ISO 27001: 2013 NUEVA ISO 27001: 2013
  18. 18. NUEVA ISO 27001: 2013 SGSI Estudio de situación actual en aspectos de seguridad Mantenimiento, evaluacióny planes de mejora Comprobarla efectividad de las medidas implantadas Implantación de medidas de seguridad
  19. 19. ISO 27001 “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Se adopta el modelo Plan-Do- Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización Objetivo: Mejora continua
  20. 20. PLANIFICAR (Creación del SGSI Definir las políticas, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización HACER (Implementación y operación del SGSI Implementar y operar la política, controles, procesos y procedimientos del SGSI VERIFICAR (Supervisión y revisión del SGSI Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión ACTUAR Mantenimiento y mejora del SGSI Adoptar medidas correctivas y preventivas, en función a los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI ISO 27001 ISO 27001
  21. 21. VENTAJAS Garantizar la confidencialidad, integridad y disponibilidad de información sensible Disminuir el riesgo con la consiguiente reducción de gastos Reducir la incertidumbre por el conocimiento de los riesgos e impactos Mejorar continuamente la gestión de la seguridad de la información Garantizar la continuidad del negocio Aumentar la competitividad y mejorar la imagen corporativa Incremetar la confianza de los stakeholders Aumentar la rentabilidad derivada del control de los riesgos Cumplir la legislación vigente referente a la seguridad de la linformación Aumentar las oportunidades de negocio
  22. 22. VENTAJAS Mejorar la implicación y participación del personal en la gestión de la seguridad Reducir los costos asociados a los incidentes Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001 entre otros Mejorar los procesos y servicios prestados Aumentar la competitividad por mejora de la imagen corporativa
  23. 23. DEFINICIÓN DE POLÍTICAS, ORGANIZACIÓN Y ALCANCES
  24. 24. DISEÑO DEL SGSI La implantación de un SGSI debe comenzar con el correcto diseño Para ello debemos definir cuatro aspectos fundamentales Tercero: La organización de la seguridad Cuarto: Programas de concienciación y formación del personal Primero: El alcance del sistema Segundo: Las Políticas de seguridad aseguir
  25. 25. La implantación de un SGSI debe comenzar con el correcto diseño Primero: definir el alcance del sistema. Qué partes o procesos de la organización que van a ser incluidos La empresa debe determinar cuáles son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde debe empezar Dentro del alcance debe quedar definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas DISEÑO DEL SGSI
  26. 26. La implantación de un SGSI debe comenzar con el correcto diseño Qué tecnología de la empresa se incluirán y qué áreas quedarán excluidas en la implamntación del SGSI Es importante que durante esta fase se estimen los recursos económicos y de personal que se van a dedicar a implantary mantenerel sistema De nada sirve que la organización realice un esfuerzo importante durante la implantación si después no es capaz de mantenerlo DISEÑO DEL SGSI
  27. 27. POLÍTICAS DE SEGURIDAD Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad Recoger las directrices que debe seguir el SGSI de acuerdo a las necesidades y la legislación vigente Se debe establecer las pautas de actuación en el caso de incidentes y definir responsabilidades Las políticas deben delimitar qué se protege, de quién y por qué Determinar qué está permitido y qué no; límite de comportamiento aceptable, y cuál es la respuesta si existe abuso Identificar los riesgos a los que está sometida la organización Para que la política de seguridad sea un documento de utilidad, con lo establecido en la norma ISO/IEC 27001 debe cumplir con ciertos requisitos. Redacción accesible para todo el personal. Corta, precisa y fácil de comprender Debe ser aprobada por la dirección de la organización y publicitada por la misma Debe ser de dominio público dentro de la organización y debe estar disponible para su consulta Debe ser referencia para la resolución de conflictos relativas a la seguridad de la información de la organización
  28. 28. POLÍTICAS DE SEGURIDAD En función a las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información Se debe indicar qué se protege, incluyendo tanto al personal como a la información, la reputación y la continuidad Debe ser personalizada para cada organización Se deben señalar las normas y reglas que va adoptar la organización y las medidas de seguridad necesarias Las política de seguridad debe incluir al menos los siguientes apartados 1 - Definición de la SI, objetivos globales, alcance de la seguridad, importancia y los mecanismos de control. 2- Declaración por parte de la organización donde se apoyan los objetivos y principios de la SI 3 – Breve explicación de las políticas 4- Definir responsabilidades generales y específicas donde se incluirán los roles que se deban cumplir 5 – Referencia a documentos para sustentar las políticas. Las políticas de SI debe ser un documento actualizado por lo que debe ser revisado y modificado anualmente
  29. 29. ORGANIZACIÓN DE LA SEGURIDAD La organización de la seguridad es otro aspecto de immportnacia durante el diseño del SGSI 1 1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas responsabilidades Responsable de seguridad. Comité de Dirección. Comité de Gestión 2. Al plantear la nueva organización y responsabilidades se debe identificar posibles riesgos y se debe tomar medidas al respecto2 3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los despachos, en estos casos es posible firmar acuerdos de confidencialidad 3 4 4. La última fase del diseño del SGSI es la concienciación y formación del personal con el fin de crear una cultura de seguridad
  30. 30. ALCANCES Para determinar el alcance y límites del SGSI se debe especificar las características de la organización, su ubicación, activos, tecnología e incluir detalles de cualquier exclusión dentro del alcance que pudieran considerarse. El alcance, es un aspecto fundamental, ya que delimita las partes de la organización que se ven afectadas, y por tanto, las partes que se deben auditar.
  31. 31. El alcance, con todas las características debe estar documentado. 2 3 45 1 La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información La organización debe considerar, en el alcance, los elementos internos y externos para su propósito que puedan afectar a la consecución de los objetivos del SGSI. Se debe considerar, las partes interesadas para el SGSI y los aspectos legales y regulatorios incluir Se debe considerar, las interfaces y dependencias entre las actividades de la organización y las que realizan otras organizaciones (proveedores). Cláusula 4.3 En esta cláusula aparecen 5 especificaciones: 4 ALCANCES
  32. 32. COMPATIBILIDAD "ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
  33. 33. NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014 Diseño:ReinaldoPérezLeón reyleon1970@gmail.com 04245461944

×