SlideShare a Scribd company logo

Norma ISO 27000

UPTAEB
UPTAEB

Norma ISO 27000

Internet
1 of 33
Download to read offline
NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014
NORMA ISO 27000 Conceptos asociados a ISO 27000 Normas ISO 27000: Familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la Información Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
¿QUÉ ES LA INFORMACIÓN? La Academia Latinoamericana de Seguridad Informática (2.004) destaca al respecto que “la información es el objeto de mayor valor para las empresas”. Platos Motor Cabeza lectora “La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto necesita ser protegido” ISO / IEC 27001:2005
SEGURIDAD DE LA INFORMACIÓN Explica que “la seguridad de la información son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, Datos o capacidades”. Maiwald (2005) Regula a nivel legal una parte importante de los Sistemas de Información de la empresa, los datos de carácter personal. Ley Orgánica de Protección de Datos (LOPD) Marco Regulatorio Especifica controles técnicos, físicos y organizativos para garantizar la Protección de citados datos. Reglamento de Desarrollo RD1720/2007
Los datos de carácter personal son un subconjunto del activo más importante que Maneja una empresa: SEGURIDAD DE LA INFORMACIÓN Planes estratégicos, salario del personal, operaciones financieras Site público de la empresa, Publicidad Ofertas comerciales, ERP, contabilidad, planes ejecutivos Empleados, pacientes, clientes
SEGURIDAD DE LA INFORMACIÓN Click to add Title Los objetivos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garantizando la: 1 Confidencialidad 2 Integridad 3 Disponibilidad La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva: ISO 27002 (ISO) 17799 Guía de Buenas Prácticas ISO 27000: Términos y Definiciones ISO27001: Requerimientos del SGSI
SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: Manual de Calidad y Seguridad Procesos/ Procedimientos Operativos Generales Registros de Calidad y Seguridad Instrucciones de Trabajo Específicas
SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: MANUAL DE SEGURIDAD PROCEDIMIENTOS INSTRUCCIONES – CHECKLIST - FORMULARIOS REGISTROS
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 INFORMACIÓN DATOS
¿PARA QUÉ SIRVE UN SGSI? RIESGOS AMENAZAS CONTROLES REQUERIMIENTOS DE SEGURIDAD Imponen Marcan Disminuyen Aumentan Protegen de VULNERABILIDAD ACTIVOS VALOR DE LOS ACTIVOS Impactan si se materializan Aumentan Tienen Aumentan Exponen Aprovechan
EVOLUCIÓN DE LA NORMATIVA ISO 27000 BSI (British Standards Institution): Organización británica responsable de la publicación de importantes normas como: (BS 7799-1): es una guía de buenas prácticas, para la que no se establece un esquema de certificación (BS 7799-2): publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, como ISO 17799 en el año 2000 En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión 1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 Publica a norma BS 7799 en 1995: conjunto de buenas prácticas para la gestión de la seguridad de su información
EVOLUCIÓN DE LA NORMATIVA ISO 27000 En 2005, con más de 1700 empresas certificadas en BS7799-2, el esquema se publicó por ISO como estándar ISO 27001. 1995 BS 7799 Parte 1 Código de Buenas Prácticas 1998 BS 7799 Parte 2 Especificación del SGSI 1999 BS 7799-1 1999 BS 7799-2 1999 Revolución de las partes 1 y 2 2000 ISO/IEC 17799:2000 Parte 1 se adopta como ISO 2002 BS 7799-2: 2002 Revisión de la parte 2 Junio 2005 ISO/IEC 17799: 2000 Revisión de ISO 17999 Octubre 2005 ISO/IEC 27001 Parte 2 se adopta como ISO HISTORIA DE ISO 27001
2012 ISO/IEC 27010: 2012 ISO/IEC 27013: 2012 ISO/IEC TR 27015: 2012 2007 ISO/IEC 27002: 2005 ISO/IEC 27006: 2007 2009 ISO/IEC 27031: 2009 ISO/IEC 27004: 2009 ISO/IEC 27033: 2009 2008 ISO/IEC 27005: 2008 ISO/IEC 27011: 2008 ISO/IEC 27799: 2008 2011 ISO/IEC 27035: 2011 ISO/IEC 27031: 2011 ISO/IEC 27005: 2011 ISO/IEC 27006: 2011 ISO/IEC 27007: 2011 ISO/IEC TR 27008: 2011 ISO/IEC 27034: 2011 2010 ISO/IEC 27003: 2010 EVOLUCIÓN DE LA NORMATIVA ISO 27000
EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000 Puntos clave: Gestión de riesgos + Mejora continua Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes Sigue un modelo PDCA (Plan-Do-Check-Act) ISO/IEC 27001
EVOLUCIÓN ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001 ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27032: guía de seguridad en aplicaciones ISO/IEC 27003: guía de implementación de SGSI e información EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicable para la eficacia el SGSI ISO/IEC 27005: gestión de riesgos de seguridad de la información ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones
EVOLUCIÓN DE LA NORMATIVA ISO 27000 Diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013
Enfoque del análisis del riesgo de l afase de planificación y operación NUEVA ISO 27001: 2013 NUEVA ISO 27001: 2013
NUEVA ISO 27001: 2013 SGSI Estudio de situación actual en aspectos de seguridad Mantenimiento, evaluacióny planes de mejora Comprobarla efectividad de las medidas implantadas Implantación de medidas de seguridad
ISO 27001 “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Se adopta el modelo Plan-Do- Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización Objetivo: Mejora continua
PLANIFICAR (Creación del SGSI Definir las políticas, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización HACER (Implementación y operación del SGSI Implementar y operar la política, controles, procesos y procedimientos del SGSI VERIFICAR (Supervisión y revisión del SGSI Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión ACTUAR Mantenimiento y mejora del SGSI Adoptar medidas correctivas y preventivas, en función a los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI ISO 27001 ISO 27001
VENTAJAS Garantizar la confidencialidad, integridad y disponibilidad de información sensible Disminuir el riesgo con la consiguiente reducción de gastos Reducir la incertidumbre por el conocimiento de los riesgos e impactos Mejorar continuamente la gestión de la seguridad de la información Garantizar la continuidad del negocio Aumentar la competitividad y mejorar la imagen corporativa Incremetar la confianza de los stakeholders Aumentar la rentabilidad derivada del control de los riesgos Cumplir la legislación vigente referente a la seguridad de la linformación Aumentar las oportunidades de negocio
VENTAJAS Mejorar la implicación y participación del personal en la gestión de la seguridad Reducir los costos asociados a los incidentes Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001 entre otros Mejorar los procesos y servicios prestados Aumentar la competitividad por mejora de la imagen corporativa
DEFINICIÓN DE POLÍTICAS, ORGANIZACIÓN Y ALCANCES
DISEÑO DEL SGSI La implantación de un SGSI debe comenzar con el correcto diseño Para ello debemos definir cuatro aspectos fundamentales Tercero: La organización de la seguridad Cuarto: Programas de concienciación y formación del personal Primero: El alcance del sistema Segundo: Las Políticas de seguridad aseguir
La implantación de un SGSI debe comenzar con el correcto diseño Primero: definir el alcance del sistema. Qué partes o procesos de la organización que van a ser incluidos La empresa debe determinar cuáles son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde debe empezar Dentro del alcance debe quedar definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas DISEÑO DEL SGSI
La implantación de un SGSI debe comenzar con el correcto diseño Qué tecnología de la empresa se incluirán y qué áreas quedarán excluidas en la implamntación del SGSI Es importante que durante esta fase se estimen los recursos económicos y de personal que se van a dedicar a implantary mantenerel sistema De nada sirve que la organización realice un esfuerzo importante durante la implantación si después no es capaz de mantenerlo DISEÑO DEL SGSI
POLÍTICAS DE SEGURIDAD Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad Recoger las directrices que debe seguir el SGSI de acuerdo a las necesidades y la legislación vigente Se debe establecer las pautas de actuación en el caso de incidentes y definir responsabilidades Las políticas deben delimitar qué se protege, de quién y por qué Determinar qué está permitido y qué no; límite de comportamiento aceptable, y cuál es la respuesta si existe abuso Identificar los riesgos a los que está sometida la organización Para que la política de seguridad sea un documento de utilidad, con lo establecido en la norma ISO/IEC 27001 debe cumplir con ciertos requisitos. Redacción accesible para todo el personal. Corta, precisa y fácil de comprender Debe ser aprobada por la dirección de la organización y publicitada por la misma Debe ser de dominio público dentro de la organización y debe estar disponible para su consulta Debe ser referencia para la resolución de conflictos relativas a la seguridad de la información de la organización
POLÍTICAS DE SEGURIDAD En función a las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información Se debe indicar qué se protege, incluyendo tanto al personal como a la información, la reputación y la continuidad Debe ser personalizada para cada organización Se deben señalar las normas y reglas que va adoptar la organización y las medidas de seguridad necesarias Las política de seguridad debe incluir al menos los siguientes apartados 1 - Definición de la SI, objetivos globales, alcance de la seguridad, importancia y los mecanismos de control. 2- Declaración por parte de la organización donde se apoyan los objetivos y principios de la SI 3 – Breve explicación de las políticas 4- Definir responsabilidades generales y específicas donde se incluirán los roles que se deban cumplir 5 – Referencia a documentos para sustentar las políticas. Las políticas de SI debe ser un documento actualizado por lo que debe ser revisado y modificado anualmente
ORGANIZACIÓN DE LA SEGURIDAD La organización de la seguridad es otro aspecto de immportnacia durante el diseño del SGSI 1 1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas responsabilidades Responsable de seguridad. Comité de Dirección. Comité de Gestión 2. Al plantear la nueva organización y responsabilidades se debe identificar posibles riesgos y se debe tomar medidas al respecto2 3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los despachos, en estos casos es posible firmar acuerdos de confidencialidad 3 4 4. La última fase del diseño del SGSI es la concienciación y formación del personal con el fin de crear una cultura de seguridad
ALCANCES Para determinar el alcance y límites del SGSI se debe especificar las características de la organización, su ubicación, activos, tecnología e incluir detalles de cualquier exclusión dentro del alcance que pudieran considerarse. El alcance, es un aspecto fundamental, ya que delimita las partes de la organización que se ven afectadas, y por tanto, las partes que se deben auditar.
El alcance, con todas las características debe estar documentado. 2 3 45 1 La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información La organización debe considerar, en el alcance, los elementos internos y externos para su propósito que puedan afectar a la consecución de los objetivos del SGSI. Se debe considerar, las partes interesadas para el SGSI y los aspectos legales y regulatorios incluir Se debe considerar, las interfaces y dependencias entre las actividades de la organización y las que realizan otras organizaciones (proveedores). Cláusula 4.3 En esta cláusula aparecen 5 especificaciones: 4 ALCANCES
COMPATIBILIDAD "ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014 Diseño:ReinaldoPérezLeón reyleon1970@gmail.com 04245461944

Recommended

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 

Recommended

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 

More Related Content

What's hot

ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 

What's hot (20)

ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 

Viewers also liked

Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Grc y seguridad
Grc y seguridadGrc y seguridad
Grc y seguridadbalejandre
 
Programa De Postgrados Online
Programa De Postgrados OnlinePrograma De Postgrados Online
Programa De Postgrados Onlinedirector
 
Practica LittleWitch Miguel Avila (UNAD) 2014
Practica LittleWitch Miguel Avila (UNAD) 2014Practica LittleWitch Miguel Avila (UNAD) 2014
Practica LittleWitch Miguel Avila (UNAD) 2014MAAG
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
ISO 20000 para proveedores internos de TI
ISO 20000 para proveedores internos de TIISO 20000 para proveedores internos de TI
ISO 20000 para proveedores internos de TIMateos Consultores
 
Normas ISO para Aseguradoras y Financieras
Normas ISO para Aseguradoras y FinancierasNormas ISO para Aseguradoras y Financieras
Normas ISO para Aseguradoras y FinancierasMateos Consultores
 
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...EXIN
 
Historia de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoHistoria de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoJuan Sacco
 

Viewers also liked (20)

Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Hps Salud 2.0
Hps Salud 2.0Hps Salud 2.0
Hps Salud 2.0
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Estandares y normas iso
Estandares y normas isoEstandares y normas iso
Estandares y normas iso
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Grc y seguridad
Grc y seguridadGrc y seguridad
Grc y seguridad
 
Programa De Postgrados Online
Programa De Postgrados OnlinePrograma De Postgrados Online
Programa De Postgrados Online
 
Practica LittleWitch Miguel Avila (UNAD) 2014
Practica LittleWitch Miguel Avila (UNAD) 2014Practica LittleWitch Miguel Avila (UNAD) 2014
Practica LittleWitch Miguel Avila (UNAD) 2014
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
ISO 20000 para proveedores internos de TI
ISO 20000 para proveedores internos de TIISO 20000 para proveedores internos de TI
ISO 20000 para proveedores internos de TI
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Normas ISO para Aseguradoras y Financieras
Normas ISO para Aseguradoras y FinancierasNormas ISO para Aseguradoras y Financieras
Normas ISO para Aseguradoras y Financieras
 
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...
10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores inte...
 
Historia de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan SaccoHistoria de los buffer overflows por Juan Sacco
Historia de los buffer overflows por Juan Sacco
 
Javascript strings
Javascript stringsJavascript strings
Javascript strings
 

Similar to Norma ISO 27000

Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 allabc000123
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 

Similar to Norma ISO 27000 (20)

Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Normas iso andrea
Normas iso andreaNormas iso andrea
Normas iso andrea
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso27001
Iso27001Iso27001
Iso27001
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
ii
iiii
ii
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Is
IsIs
Is
 

More from UPTAEB

LiderazgoTransaccional
LiderazgoTransaccionalLiderazgoTransaccional
LiderazgoTransaccionalUPTAEB
 
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRA
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRADISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRA
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRAUPTAEB
 
Interrogantes de la Investigación
Interrogantes de la InvestigaciónInterrogantes de la Investigación
Interrogantes de la InvestigaciónUPTAEB
 
Antecedentes de la Investigación y marco teórico
Antecedentes de la Investigación y marco teóricoAntecedentes de la Investigación y marco teórico
Antecedentes de la Investigación y marco teóricoUPTAEB
 
Criptomoneda Doge Coin
Criptomoneda Doge CoinCriptomoneda Doge Coin
Criptomoneda Doge CoinUPTAEB
 
Modelo de nNegocio con Google Plus
Modelo de nNegocio con Google PlusModelo de nNegocio con Google Plus
Modelo de nNegocio con Google PlusUPTAEB
 
Gobierno en Línea
Gobierno en LíneaGobierno en Línea
Gobierno en LíneaUPTAEB
 
Trabajo de Grado Gerencia de las TIC
Trabajo de Grado Gerencia de las TICTrabajo de Grado Gerencia de las TIC
Trabajo de Grado Gerencia de las TICUPTAEB
 
Elaboración y Administración de Blog
Elaboración y Administración de BlogElaboración y Administración de Blog
Elaboración y Administración de BlogUPTAEB
 
Edmodo
EdmodoEdmodo
EdmodoUPTAEB
 
Clase 7 Calidad de los Contenidos Digitales
Clase 7 Calidad de los Contenidos DigitalesClase 7 Calidad de los Contenidos Digitales
Clase 7 Calidad de los Contenidos DigitalesUPTAEB
 
Clase 6 Usabilidad
Clase 6 UsabilidadClase 6 Usabilidad
Clase 6 UsabilidadUPTAEB
 
Clase 5 Estudio de la Audiencia
Clase 5 Estudio de la AudienciaClase 5 Estudio de la Audiencia
Clase 5 Estudio de la AudienciaUPTAEB
 
Clase 4. La Arquitectura y el Arquitecto de la Información
Clase 4. La Arquitectura y el Arquitecto de la InformaciónClase 4. La Arquitectura y el Arquitecto de la Información
Clase 4. La Arquitectura y el Arquitecto de la InformaciónUPTAEB
 
Clase 3 Arquitectura de la Información
Clase 3 Arquitectura de la InformaciónClase 3 Arquitectura de la Información
Clase 3 Arquitectura de la InformaciónUPTAEB
 
Clase 2 arquitectura-paradigmas de la comunicación electrónica
Clase 2 arquitectura-paradigmas de la comunicación electrónicaClase 2 arquitectura-paradigmas de la comunicación electrónica
Clase 2 arquitectura-paradigmas de la comunicación electrónicaUPTAEB
 
Clase 1 arquitectura tics
Clase 1 arquitectura ticsClase 1 arquitectura tics
Clase 1 arquitectura ticsUPTAEB
 

More from UPTAEB (17)

LiderazgoTransaccional
LiderazgoTransaccionalLiderazgoTransaccional
LiderazgoTransaccional
 
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRA
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRADISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRA
DISEÑO DE LA INVESTIGACIÓN CUANTITATIVA POBLACIÓN - MUESTRA
 
Interrogantes de la Investigación
Interrogantes de la InvestigaciónInterrogantes de la Investigación
Interrogantes de la Investigación
 
Antecedentes de la Investigación y marco teórico
Antecedentes de la Investigación y marco teóricoAntecedentes de la Investigación y marco teórico
Antecedentes de la Investigación y marco teórico
 
Criptomoneda Doge Coin
Criptomoneda Doge CoinCriptomoneda Doge Coin
Criptomoneda Doge Coin
 
Modelo de nNegocio con Google Plus
Modelo de nNegocio con Google PlusModelo de nNegocio con Google Plus
Modelo de nNegocio con Google Plus
 
Gobierno en Línea
Gobierno en LíneaGobierno en Línea
Gobierno en Línea
 
Trabajo de Grado Gerencia de las TIC
Trabajo de Grado Gerencia de las TICTrabajo de Grado Gerencia de las TIC
Trabajo de Grado Gerencia de las TIC
 
Elaboración y Administración de Blog
Elaboración y Administración de BlogElaboración y Administración de Blog
Elaboración y Administración de Blog
 
Edmodo
EdmodoEdmodo
Edmodo
 
Clase 7 Calidad de los Contenidos Digitales
Clase 7 Calidad de los Contenidos DigitalesClase 7 Calidad de los Contenidos Digitales
Clase 7 Calidad de los Contenidos Digitales
 
Clase 6 Usabilidad
Clase 6 UsabilidadClase 6 Usabilidad
Clase 6 Usabilidad
 
Clase 5 Estudio de la Audiencia
Clase 5 Estudio de la AudienciaClase 5 Estudio de la Audiencia
Clase 5 Estudio de la Audiencia
 
Clase 4. La Arquitectura y el Arquitecto de la Información
Clase 4. La Arquitectura y el Arquitecto de la InformaciónClase 4. La Arquitectura y el Arquitecto de la Información
Clase 4. La Arquitectura y el Arquitecto de la Información
 
Clase 3 Arquitectura de la Información
Clase 3 Arquitectura de la InformaciónClase 3 Arquitectura de la Información
Clase 3 Arquitectura de la Información
 
Clase 2 arquitectura-paradigmas de la comunicación electrónica
Clase 2 arquitectura-paradigmas de la comunicación electrónicaClase 2 arquitectura-paradigmas de la comunicación electrónica
Clase 2 arquitectura-paradigmas de la comunicación electrónica
 
Clase 1 arquitectura tics
Clase 1 arquitectura ticsClase 1 arquitectura tics
Clase 1 arquitectura tics
 

Recently uploaded

Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfperezreyesalberto10
 
Biología Células Musculares presentación
Biología Células Musculares presentaciónBiología Células Musculares presentación
Biología Células Musculares presentaciónStephanyJara1
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadJonathanHctorSilvaRo
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoCENECOnline
 
Presentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la WebPresentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la Webfernandalunag19
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...CENECOnline
 

Recently uploaded (6)

Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
 
Biología Células Musculares presentación
Biología Células Musculares presentaciónBiología Células Musculares presentación
Biología Células Musculares presentación
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuad
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC Mexico
 
Presentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la WebPresentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la Web
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
 

Norma ISO 27000

  • 1. NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014
  • 2. NORMA ISO 27000 Conceptos asociados a ISO 27000 Normas ISO 27000: Familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la Información Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
  • 3. ¿QUÉ ES LA INFORMACIÓN? La Academia Latinoamericana de Seguridad Informática (2.004) destaca al respecto que “la información es el objeto de mayor valor para las empresas”. Platos Motor Cabeza lectora “La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto necesita ser protegido” ISO / IEC 27001:2005
  • 4. SEGURIDAD DE LA INFORMACIÓN Explica que “la seguridad de la información son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, Datos o capacidades”. Maiwald (2005) Regula a nivel legal una parte importante de los Sistemas de Información de la empresa, los datos de carácter personal. Ley Orgánica de Protección de Datos (LOPD) Marco Regulatorio Especifica controles técnicos, físicos y organizativos para garantizar la Protección de citados datos. Reglamento de Desarrollo RD1720/2007
  • 5. Los datos de carácter personal son un subconjunto del activo más importante que Maneja una empresa: SEGURIDAD DE LA INFORMACIÓN Planes estratégicos, salario del personal, operaciones financieras Site público de la empresa, Publicidad Ofertas comerciales, ERP, contabilidad, planes ejecutivos Empleados, pacientes, clientes
  • 6. SEGURIDAD DE LA INFORMACIÓN Click to add Title Los objetivos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garantizando la: 1 Confidencialidad 2 Integridad 3 Disponibilidad La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva: ISO 27002 (ISO) 17799 Guía de Buenas Prácticas ISO 27000: Términos y Definiciones ISO27001: Requerimientos del SGSI
  • 7. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: Manual de Calidad y Seguridad Procesos/ Procedimientos Operativos Generales Registros de Calidad y Seguridad Instrucciones de Trabajo Específicas
  • 8. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: MANUAL DE SEGURIDAD PROCEDIMIENTOS INSTRUCCIONES – CHECKLIST - FORMULARIOS REGISTROS
  • 9. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 INFORMACIÓN DATOS
  • 10. ¿PARA QUÉ SIRVE UN SGSI? RIESGOS AMENAZAS CONTROLES REQUERIMIENTOS DE SEGURIDAD Imponen Marcan Disminuyen Aumentan Protegen de VULNERABILIDAD ACTIVOS VALOR DE LOS ACTIVOS Impactan si se materializan Aumentan Tienen Aumentan Exponen Aprovechan
  • 11. EVOLUCIÓN DE LA NORMATIVA ISO 27000 BSI (British Standards Institution): Organización británica responsable de la publicación de importantes normas como: (BS 7799-1): es una guía de buenas prácticas, para la que no se establece un esquema de certificación (BS 7799-2): publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, como ISO 17799 en el año 2000 En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión 1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 Publica a norma BS 7799 en 1995: conjunto de buenas prácticas para la gestión de la seguridad de su información
  • 12. EVOLUCIÓN DE LA NORMATIVA ISO 27000 En 2005, con más de 1700 empresas certificadas en BS7799-2, el esquema se publicó por ISO como estándar ISO 27001. 1995 BS 7799 Parte 1 Código de Buenas Prácticas 1998 BS 7799 Parte 2 Especificación del SGSI 1999 BS 7799-1 1999 BS 7799-2 1999 Revolución de las partes 1 y 2 2000 ISO/IEC 17799:2000 Parte 1 se adopta como ISO 2002 BS 7799-2: 2002 Revisión de la parte 2 Junio 2005 ISO/IEC 17799: 2000 Revisión de ISO 17999 Octubre 2005 ISO/IEC 27001 Parte 2 se adopta como ISO HISTORIA DE ISO 27001
  • 13. 2012 ISO/IEC 27010: 2012 ISO/IEC 27013: 2012 ISO/IEC TR 27015: 2012 2007 ISO/IEC 27002: 2005 ISO/IEC 27006: 2007 2009 ISO/IEC 27031: 2009 ISO/IEC 27004: 2009 ISO/IEC 27033: 2009 2008 ISO/IEC 27005: 2008 ISO/IEC 27011: 2008 ISO/IEC 27799: 2008 2011 ISO/IEC 27035: 2011 ISO/IEC 27031: 2011 ISO/IEC 27005: 2011 ISO/IEC 27006: 2011 ISO/IEC 27007: 2011 ISO/IEC TR 27008: 2011 ISO/IEC 27034: 2011 2010 ISO/IEC 27003: 2010 EVOLUCIÓN DE LA NORMATIVA ISO 27000
  • 14. EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000 Puntos clave: Gestión de riesgos + Mejora continua Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes Sigue un modelo PDCA (Plan-Do-Check-Act) ISO/IEC 27001
  • 15. EVOLUCIÓN ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001 ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27032: guía de seguridad en aplicaciones ISO/IEC 27003: guía de implementación de SGSI e información EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicable para la eficacia el SGSI ISO/IEC 27005: gestión de riesgos de seguridad de la información ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones
  • 16. EVOLUCIÓN DE LA NORMATIVA ISO 27000 Diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013
  • 17. Enfoque del análisis del riesgo de l afase de planificación y operación NUEVA ISO 27001: 2013 NUEVA ISO 27001: 2013
  • 18. NUEVA ISO 27001: 2013 SGSI Estudio de situación actual en aspectos de seguridad Mantenimiento, evaluacióny planes de mejora Comprobarla efectividad de las medidas implantadas Implantación de medidas de seguridad
  • 19. ISO 27001 “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Se adopta el modelo Plan-Do- Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización Objetivo: Mejora continua
  • 20. PLANIFICAR (Creación del SGSI Definir las políticas, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización HACER (Implementación y operación del SGSI Implementar y operar la política, controles, procesos y procedimientos del SGSI VERIFICAR (Supervisión y revisión del SGSI Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión ACTUAR Mantenimiento y mejora del SGSI Adoptar medidas correctivas y preventivas, en función a los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI ISO 27001 ISO 27001
  • 21. VENTAJAS Garantizar la confidencialidad, integridad y disponibilidad de información sensible Disminuir el riesgo con la consiguiente reducción de gastos Reducir la incertidumbre por el conocimiento de los riesgos e impactos Mejorar continuamente la gestión de la seguridad de la información Garantizar la continuidad del negocio Aumentar la competitividad y mejorar la imagen corporativa Incremetar la confianza de los stakeholders Aumentar la rentabilidad derivada del control de los riesgos Cumplir la legislación vigente referente a la seguridad de la linformación Aumentar las oportunidades de negocio
  • 22. VENTAJAS Mejorar la implicación y participación del personal en la gestión de la seguridad Reducir los costos asociados a los incidentes Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001 entre otros Mejorar los procesos y servicios prestados Aumentar la competitividad por mejora de la imagen corporativa
  • 24. DISEÑO DEL SGSI La implantación de un SGSI debe comenzar con el correcto diseño Para ello debemos definir cuatro aspectos fundamentales Tercero: La organización de la seguridad Cuarto: Programas de concienciación y formación del personal Primero: El alcance del sistema Segundo: Las Políticas de seguridad aseguir
  • 25. La implantación de un SGSI debe comenzar con el correcto diseño Primero: definir el alcance del sistema. Qué partes o procesos de la organización que van a ser incluidos La empresa debe determinar cuáles son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde debe empezar Dentro del alcance debe quedar definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas DISEÑO DEL SGSI
  • 26. La implantación de un SGSI debe comenzar con el correcto diseño Qué tecnología de la empresa se incluirán y qué áreas quedarán excluidas en la implamntación del SGSI Es importante que durante esta fase se estimen los recursos económicos y de personal que se van a dedicar a implantary mantenerel sistema De nada sirve que la organización realice un esfuerzo importante durante la implantación si después no es capaz de mantenerlo DISEÑO DEL SGSI
  • 27. POLÍTICAS DE SEGURIDAD Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad Recoger las directrices que debe seguir el SGSI de acuerdo a las necesidades y la legislación vigente Se debe establecer las pautas de actuación en el caso de incidentes y definir responsabilidades Las políticas deben delimitar qué se protege, de quién y por qué Determinar qué está permitido y qué no; límite de comportamiento aceptable, y cuál es la respuesta si existe abuso Identificar los riesgos a los que está sometida la organización Para que la política de seguridad sea un documento de utilidad, con lo establecido en la norma ISO/IEC 27001 debe cumplir con ciertos requisitos. Redacción accesible para todo el personal. Corta, precisa y fácil de comprender Debe ser aprobada por la dirección de la organización y publicitada por la misma Debe ser de dominio público dentro de la organización y debe estar disponible para su consulta Debe ser referencia para la resolución de conflictos relativas a la seguridad de la información de la organización
  • 28. POLÍTICAS DE SEGURIDAD En función a las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información Se debe indicar qué se protege, incluyendo tanto al personal como a la información, la reputación y la continuidad Debe ser personalizada para cada organización Se deben señalar las normas y reglas que va adoptar la organización y las medidas de seguridad necesarias Las política de seguridad debe incluir al menos los siguientes apartados 1 - Definición de la SI, objetivos globales, alcance de la seguridad, importancia y los mecanismos de control. 2- Declaración por parte de la organización donde se apoyan los objetivos y principios de la SI 3 – Breve explicación de las políticas 4- Definir responsabilidades generales y específicas donde se incluirán los roles que se deban cumplir 5 – Referencia a documentos para sustentar las políticas. Las políticas de SI debe ser un documento actualizado por lo que debe ser revisado y modificado anualmente
  • 29. ORGANIZACIÓN DE LA SEGURIDAD La organización de la seguridad es otro aspecto de immportnacia durante el diseño del SGSI 1 1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas responsabilidades Responsable de seguridad. Comité de Dirección. Comité de Gestión 2. Al plantear la nueva organización y responsabilidades se debe identificar posibles riesgos y se debe tomar medidas al respecto2 3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los despachos, en estos casos es posible firmar acuerdos de confidencialidad 3 4 4. La última fase del diseño del SGSI es la concienciación y formación del personal con el fin de crear una cultura de seguridad
  • 30. ALCANCES Para determinar el alcance y límites del SGSI se debe especificar las características de la organización, su ubicación, activos, tecnología e incluir detalles de cualquier exclusión dentro del alcance que pudieran considerarse. El alcance, es un aspecto fundamental, ya que delimita las partes de la organización que se ven afectadas, y por tanto, las partes que se deben auditar.
  • 31. El alcance, con todas las características debe estar documentado. 2 3 45 1 La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información La organización debe considerar, en el alcance, los elementos internos y externos para su propósito que puedan afectar a la consecución de los objetivos del SGSI. Se debe considerar, las partes interesadas para el SGSI y los aspectos legales y regulatorios incluir Se debe considerar, las interfaces y dependencias entre las actividades de la organización y las que realizan otras organizaciones (proveedores). Cláusula 4.3 En esta cláusula aparecen 5 especificaciones: 4 ALCANCES
  • 32. COMPATIBILIDAD "ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
  • 33. NORMA INTERNACIONAL ISO-27000 REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP) MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO Barquisimeto, mayo 2014 Diseño:ReinaldoPérezLeón reyleon1970@gmail.com 04245461944