Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA

1,547 views

Published on

El 09/09 de 2014 se realizó en el Auditorio de Medrano 951 (UTN BA) el Seminario "ISO 27001 - Sistemas de Gestión de Seguridad de la Información".

Los invitamos a ver el contenido del #Seminario en #SlideShare

Published in: Education
  • Be the first to comment

Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA

  1. 1. Seminario ISO 27001 Formación y Consultoria en Sistemas de Gestión y Mejora Continua Secretaría de Cultura y Extensión Universitaria
  2. 2. Seminario ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
  3. 3. Objetivos • Filosofía de la ISO • Seguridad de la Información • La norma ISO / IEC 27001:2013 • Factores clave de éxito para su implementación
  4. 4. MISIÓN OBJETIVOS DEL NEGOCIO RIESGOS DEL NEGOCIO RIESGOS APLICABLES CONTROLES INTERNOS REVISIÓN ISO 9001 ISO/IEC 27001 ISO/IEC 22301 ISO/IEC 20000 ISO 14001 OHSAS 18001 ISO 26000 Sistemas de Gestión Integrados
  5. 5. Información La información constituye un importante activo, esencial para las necesidades empresariales de una organización. La información puede existir de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones. ISO / IEC 27000:2014
  6. 6. Términos y definiciones • Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos, organismos o procesos no autorizados. ISO 27000:2014, cláusula 2.12 • Integridad: Propiedad de proteger la precisión y la totalidad de los activos. ISO 27000:2014, cláusula 2.40 • Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado ISO 27000:2014, cláusula 2.9
  7. 7. Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información; además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad. ISO 27000:2014
  8. 8. SGSI La parte del sistema global de gestión, basada en un enfoque de riesgos empresariales, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Nota: El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.
  9. 9. DO CHECK ACT 8 8 Operación Operación 9 9 Evaluación del desempeño Evaluación del desempeño 10 Mejora 10 Mejora 7 Apoyo Información Documentada Información Documentada Planificación y control operativo Planificación y control operativo Evaluación de riesgos de seguridad de información Evaluación de riesgos de seguridad de información Tratamiento de riesgos de seguridad de información Tratamiento de riesgos de seguridad de información Seguimiento, medición, análisis y evaluación Seguimiento, medición, análisis y evaluación AuAduidtoitroíarí ain itnetrenrana Revisión por la dirección Revisión por la dirección No No conformidades y conformidades y acciónes correctivas acciónes correctivas MMejeojroar ac ocnotnintiunaua 7 Apoyo RReceucrusrossos CComompepteetnecnicaia CConocniceinetniztiazcaicóinón CComomunuinciaccaicóinón 4 4 Contexto de la Organización Contexto de la Organización 5 5 Liderazgo Liderazgo 6 6 PLAN Planificación Planificación Comprender la organización y su Comprender la organización y su contexto contexto Comprender las necesidades y expectativas de las partes interesadas Comprender las necesidades y expectativas de las partes interesadas Determinar el alcance del SGSI Determinar el alcance del SGSI SGSGSISI Liderazgo y compromiso Liderazgo y compromiso PoPloítliíctiaca Roles, Roles, responsabilidades y autoridades de la organización responsabilidades y autoridades de la organización Acciones para tratar riesgos y oportunidades Acciones para tratar riesgos y oportunidades Objetivos de SI y planes para alcanzarlos Objetivos de SI y planes para alcanzarlos PDCA y las cláusulas ISO/IEC 27001:2013
  10. 10. Cláusulas de la norma en el modelo PDCA de mejora continua Mejora Continua Mantener y Mejorar el SGSI 10 Implementar y Operar el SGSI 8 Establecer el SGSI 4, 5, 6, 7 Anexo A Partes Interesadas Requisitos y Expectativas de Seguridad de la Información Partes Interesadas Seguridad de la Información Gestionada Plan Monitorear y Revisar el SGSI 9 Do Check Act
  11. 11. Anexo A de la norma ISO 27001 A 5 Políticas de seguridad de la información A 6 Organización de la seguridad de la información A 7 Seguridad de los recursos humanos A 8 Gestión de activos A 9 Control de accesos A 10 Criptografia A 11 Seguridad física y ambiental A 12 Seguridad de las operaciones A 13 Seguridad de las comunicaciones A 14 Adquisición, desarrollo y mantenimiento de los sistemas de información A 15 Relaciones con los proveedores A 16 Gestión de incidentes de seguridad de la información A 17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio A 18 Cumplimiento Anexo A
  12. 12. Factores clave de éxito de una implementación ISO 27001 1. Política y objetivos del SGSI. 2. Gestión de riesgos. 3. Compromiso de la Dirección. 4. Metodología de mejora continua. 5. Certificación del SGSI.
  13. 13. 1. Política y objetivos del SGC • Establecer las directrices en la política (no en los objetivos). • Identificar objetivos de calidad SMART: – eSpecificos (Specific): ¿El objetivo es claro y no ambiguo? – Medibles (Measurable): ¿El objetivo tiene un criterio de medición? – Alcanzables (Achievable): ¿El objetivo es desafiante pero alcanzable? – Realista (Realistic): ¿El objetivo puede ser logrado con los recursos que tenemos? – a Tiempo (Timely): ¿El objetivo tiene definido cuándo se desea alcanzar? • Alinear los objetivos con las directrices de la política • Evidenciar a través de métricas el cumplimiento de los objetivos.
  14. 14. 2. Gestión de riesgos • Participación de todo el personal involucrado: – Dueños deben fijar la valoración o importancia de los activos en función del negocio – Custodios deben determinar los medios técnicos para protegerlos, en función de las definiciones de los dueños • Compromiso de la Dirección con la gestión de los riesgos (ver factor clave de éxito 3). • Revisiones periódicas de la gestión de riesgos y aprendizaje de los incidentes de seguridad. • Contar con un encargado de riesgos idóneo técnicamente y para moderar un proceso de comunicaciones interpersonales y liderar las negociaciones entre dueños y custodios.
  15. 15. Definir:  Alcance,  Política y  Metodología Identificar:  Activos,  Vulnerabilidades  Amenazas y  Controles Analizar:  Riesgos  Costo / Beneficio  Decidir tratamiento de riesgos  Aceptar riesgo residual Controles:  Seleccionar  SOA  Implantar  Seguros  Proveedores  Conocer y Aceptar las consecuencias  Cese de la actividad que lo origina Planificar Identificar y analizar Dirección Mitigar riesgo Transferir riesgo Aceptar riesgo Evitar riesgo Análisis y valoración de riesgos Tratamiento de riesgos
  16. 16. 3. Compromiso de la dirección • Establecer la política, objetivos y comunicar a la organización la importancia de alcanzarlos. • Aprobación de la Declaración de aplicabilidad. • Provisión de los recursos. • Decidir los criterios de aceptación de riesgos. • Asegurar que el programa de auditorías internas mejora con el tiempo. • Revisión por la dirección.
  17. 17. La Mejora Continua Auditoría Auditoría Auditoría Control Puntos de Auditoría Operación “Normal” de la Seguridad Tiempo Nivel de Seguridad de la empresa Seguridad operativa débil Seguridad operativa más fuerte Mejora continua Preparación para la Auditoría
  18. 18. Modelo de madurez de Philip Crosby 1. Incertidumbre: realidad confusa y sin compromiso. 3. Ilustración: compromiso de mejora, enfrentando los problemas sin desviar la acción a otros. 2. Despertar: reconocimiento de la importancia de la gestión de la calidad pero sin un compromiso de invertir en ella. 5. Certeza: 4. Sabiduría: gestión de la calidad como parte esencial de los sistemas de la empresa. participación, medición precisa e intentos de hacer permanentes las mejoras logradas.
  19. 19. 5. Certificación del SGSI • Es un proceso posterior a la implementación, pero independiente. • La realizan varios organismos prestigiosos que determinan si el SGSI cumple con los requisitos de ISO 27001. • Facilita el apoyo de la Dirección. • Alínea a las personas vinculadas con el SGSI dentro de un objetivo compartido.
  20. 20. Proceso de certificación CICLO PERIODICO Implantación del Sistema de Gestión de la Seguridad de la Información Solicitud de la Certificación FASE I Análisis de Documentación FASE II Auditoría de Certificación Aprobación NO Visita Adicional Auditoria SI anual de Mantenimiento Visita Adicional Aprobación Mantenimiento de Certificado NO SI Emisión de Certificado
  21. 21. Esfuerzo de certificación La organización debe evidenciar: • Adherencia con su política de SGSI, objetivos y procedimientos • Que el SGSI concuerda con todos los requisitos normativos y que alcanza los objetivos de la política de seguridad de la información La auditoría de certificación se focaliza en: • Evaluar los riesgos relativos a la seguridad de la información y que esa evaluación produzca resultados comparables y reproducibles • La documentación obligatoria • La selección de controles y objetivos de control identificados durante el proceso de gestión de riesgos.
  22. 22. Esfuerzo de certificación La auditoría de certificación se focaliza en (continuación): • Revisión de la eficacia del SGSI y las métricas de la eficacia de los controles de seguridad de la información, reporte y revisión versus los objetivos del SGSI • Auditorías internas y revisiones de la Dirección • Responsabilidad de la Dirección en función de la política de seguridad de la información • La correspondencia entre los controles seleccionados e implantados, SOA, y los resultados de la evaluación y tratamiento de riesgos, y la política y objetivos del SGSI • La implementación de controles, teniendo en cuenta las métricas de la eficacia de los controles de la organización, para determinar si los controles implementados son efectivos para alcanzar los objetivos establecidos • Programas, procedimientos, registros, auditorías internas, y revisiones de la eficacia para asegurar que son trazabables hacia la gestión de riesgos, la política y objetivos del SGSI
  23. 23. Beneficios de la certificación • Asegura la eficacia de la gestión de la seguridad de la información a través del cumplimiento de una norma de reconocimiento internacional • Facilita el apoyo de la Dirección • Mejora la conciencia, responsabilidad y sensibilización del personal hacia la seguridad de la información • Incrementa la confianza de clientes y socios estratégicos por la garantía de calidad, confidencialidad comercial y cumplimiento de leyes y reglamentaciones • Implementa la seguridad de la información en los procesos de negocio a través de la gestión de los mismos y no por la compra sistemática de productos y tecnología (revisión de los riesgos y controles a lo largo del tiempo) • Integra al SGSI con otros sistemas de gestión como SGC y SGA • Robustece la imagen de la empresa a nivel local e internacional (elemento diferenciador de la competencia)
  24. 24. ¿Preguntas? ?
  25. 25. Próximo Curso Auditor Interno en Seguridad de la Información ISO/IEC 27001; 19011 Viernes 17, 24 y 31 de octubre de 9 a 18 hs. Informes: calidad@sceu.frba.utn.edu.ar Tel.: 4867-7500 Int. 7710
  26. 26. Novedades 2015 Diplomatura en Sistemas de Gestión de Servicios de Tecnología y Seguridad de la Información 120 hs.
  27. 27. MUCHAS GRACIAS

×