SlideShare una empresa de Scribd logo

27001:2013 Seguridad orientada al negocio

Fabián Descalzo
Fabián Descalzo

27001:2013 - Seguridad orientada al Negocio - FD linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.

Educación
1 de 45
Descargar para leer sin conexión
27001 Seguridad orientada al Negocio
• Objetivo de la Norma ISO 27001 • Bases de la Norma ISO 27001 • Actualización a ISO 27001:2013 • Estructura de la Norma • Compromiso y alcance • Dominios de control • Soporte y operación • Declaración de Aplicabilidad • Negocio y otros Frameworks • La certificación • Familia de Normas ISO 27000 ISO 27001 2005 → 2013
Este estándar fue desarrollado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI teniendo en cuenta la política, estructura organizativa, las normas, procedimientos y los recursos de la empresa. El SGSI de la ISO 27001 permite prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando a la Organización ante posibles emergencias, garantizando la continuidad del negocio. Objetivo
La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio establecidos. • La Seguridad deja de ser sólo una cuestión técnica para ser parte del Plan de Negocio • Aplica a todos los niveles de la Organización. • Introduce el Análisis de Riesgo y un sistema de gestión orientado a la protección de la información (SGSI). • Define un conjunto de controles que no deja nada librado al azar. • Asocia Gobernabilidad con la Seguridad de la Información, mostrando un valor agregado de Calidad a los resultados del Negocio POLITICA DE SEGURIDAD DE LA INFORMACIÓN Bases de la 27001
Requerimientos legales, reglamentarios y expectativas de seguridad de la información Clientes Proveedores Usuarios Accionistas Socios Seguridad de la información Gestionada Clientes Proveedores Usuarios Accionistas Socios Disponer de una gestión que asegure los procesos de negocio y el tratamiento de los datos propios o de terceros permite una… Bases de la 27001
27001:2013 • Pone más énfasis en la medición y evaluación del SGSI • Nueva sección sobre la contratación externa, la cual refleja el hecho de que muchas organizaciones dependen de terceros para la prestación de algunos aspectos de las TI. • No enfatiza en el ciclo Plan-Do-Check-Act explicitamente, presta más atención al contexto de Seguridad de la Información en la Organización • La 27001:2013 fue diseñada para ajustarse mejor a otras normas de gestión como ISO 9000 e ISO 20000
SEGURIDAD PROCESOS FUNCIONALES PROCESOS TECNOLÓGICOS GOBERNABILIDAD CALIDAD NEGOCIO ISO 27014 – Gobierno de Seguridad de la Información ISO 20000 – Gestión de Servicios de TI Concepto clave
1. Ámbito de aplicación de la norma 2. Alcance 3. Términos y definiciones de la ISO / IEC 27000 4. Contexto organizacional y de las partes interesadas 5. Liderazgo en seguridad de la información y apoyo de alto nivel para la política 6. Planificación de un sistema de gestión de seguridad de la información; evaluación de riesgos; tratamiento de riesgos 7. Apoyar un sistema de gestión de seguridad de la información 8. Hacer un sistema de gestión de seguridad de información operativa 9. Revisar el funcionamiento del sistema 10.Acciones correctivas Anexo A: Lista de los controles y sus objetivos. Estructura de la Norma En la actualidad hay 114 controles en 14 grupos El viejo estándar tenía 133 controles en 11 grupos
Estructura de la Norma Propone un marco genérico para cualquier sistema de gestión, a partir del cual toda norma ISO de sistema de gestión converja en una misma estructura común y con el mismo contenido salvo en su apartado 8.- Operación que será en el que, tras un primer apartado también común (8.1, de planificación y control operacional) cada norma desarrollará sus requisitos específicos (de seguridad, de continuidad, de gestión energética o de lo que sea). ANEXO SL (ex Guía ISO 83) Facilita la integración entre Normas
4. Sistema de Gestión de Seguridad de la Información 4.3 Requisitos de la Documentación 4.1 Generalidades 4.2 Implementación y gerenciamiento del SGSI 5. Responsabilidades de la Dirección 6. Auditoría interna del SGSI 7. Revisión del SGSI por parte de la Dirección 8. Mejora del SGSI 4. Contexto organizacional 7. Soporte 5. Liderazgo 6. Planificación 8. Operación 9. Evaluación de funcionamiento del SGSI 10. Mejoras y acciones correctivas Introducción, Alcance, Referencias Normativas, Términos y definiciones Estructura de la Norma 2005 2013
ACTCHECKDOPLAN 4. Contexto organizacional 7. Soporte 5. Liderazgo 6. Planificación 8. Operación 9. Evaluación de funcionamiento del SGSI 10. Mejoras y acciones correctivas Entendimiento de la Organización y su contexto Expectativas de las partes interesadas Alcances del ISMS Liderazgo y compromiso de la Alta Dirección Políticas Organización de los roles, responsables y autoridades Como abordar riesgos y oportunidades Recursos, competencias, concientización, comunicación, información documentada Plan de tratamiento de riesgos Implementar el plan y documentar los resultados Plan de seguimiento, medición, análisis y evaluación Planear y realizar auditorías internas del SGSI Revisiones regulares de la Alta Dirección No conformidad y acciones correctivas Mejora continua del SGSI Estructura de la Norma - PDCA
Estructura de la Norma
Política de Seguridad Organización de la seguridad Gestión de activos Control de accesos Conformidad Seguridad del personal Seguridad del entorno físico Seguridad del entorno tecnológico Gestión de incidentes de seguridad Gestión de operaciones Gestión de comunicaciones y operaciones Gestión de continuidad de negocio Seguridad Organizativa Seguridad lógica Seguridad física Seguridad legal TácticoOperativoEstratégico Estructura de la Norma
ENTORNO = RIESGOS CUMPLIMIENTO Leyes, Regulaciones, Políticas Internas Asociar las áreas Legales, Auditoría y Seguridad con las áreas Funcionales y Tecnológicas GOBIERNO Establecer procesos funcionales y de servicio tecnológico protegidos, compliance y pensados para El Negocio Reconocer los diferentes riesgos y metodología para su gestión Estructura de la Norma
Lo primero que debe reconocer la Organización es la importancia de uno de sus principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad. La Dirección debe reconocer que lo que se plantea es la implementación de un esquema de seguridad orientada al negocio, y toda Norma de Seguridad es una herramienta de que dispone (como marco normativo) para implantar la política y objetivo de Seguridad de la Información. Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan. Compromiso y alcance
Objetivos de mejora en su gestión que busca alcanzar la Organización: • De gobierno, estructura organizativa, funciones y responsabilidades • Políticas, los objetivos y las estrategias que están en marcha para alcanzarlos • Las capacidades, entendidas en términos de recursos y de conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías) • Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales) • Relación con las percepciones y valores de los interesados internos: • Cultura de la organización • Normas, directrices y modelos adoptados por la organización • Forma y el alcance de las relaciones contractuales. Compromiso y alcance
Áreas de Negocio Proceso Funcional Proceso de Servicios Tecnológicos y de Seguridad al Negocio Leyes y Regulaciones del Negocio Adopción del estándar Políticas, Normas y Procedimientos Registros y ControlesRegistros y Controles Compromiso y alcance
Dominios de control (Anexo A)
Controles 27002:2013
Según lo que establezca como alcance la Compañía a través de su Política de Seguridad, cada área de negocios participa en la gestión de: El Negocio Gestión de la Seguridad Gestión de Información Gestión con Terceras Partes Medios de Comunicación El Personal Funciones y responsabilidades Confidencialidad y contraseñas Uso de hardware Uso de software y aplicaciones Concientización y Educación Los sistemas de Información Seguridad Física del entorno Seguridad Física de los soportes Seguridad Lógica en los sistemas Manejo de incidentes La Revisión del Sistema Control de registros Auditorías de Sistemas Seguimiento del Cumplimiento Para aportar resultados y conocimientos para el control de: Soporte
Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él. Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad. Incrementar la conciencia de la necesidad de proteger la información y a entrenar a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas. Soporte
Nivel 4 = REGISTROS Proporciona las pruebas objetivas del cumplimiento Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOS Describe las actividades y tareas específicas , indicando como se realizan Nivel 2 = PROCEDIMIENTOS Describe procesos (qué, quien, cuando, donde) Nivel 1 = MANUAL DE SEGURIDAD Políticas, alcance, evaluación de riesgos, declaración de aplicabilidad Un Marco Normativo sobre estas bases permite contar con la certeza sobre la Información de respaldo y pruebas objetivas para el control y desarrollo de la Seguridad de la Información. Soporte
RIESGOS NEGOCIO • Definir tipos de riesgos • Identificar riesgos asociados • Establecer parámetros de medición • Elegir una metodología de tratamiento • Analizar y evaluar riesgos • Crear un Plan de Mitigación • Identificar procesos • Analizar entorno regulatorio • Analizar cultura interna • Analizar madurez operativa • Analizar entorno documental MATRIZ DE RIESGO DIRECTORIO Preparando la Operación
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos. “Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo. “Administración de Riesgos (Actualización al DD/MM/AAAA)”, • Detalle de nuevos riesgos y factores incorporados • Detalle de riesgos y factores dados de baja, con la correspondiente justificación de esta acción • Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado Preparando la Operación
Evaluación y tratamiento de riesgos de seguridad Planificación de Administración de Riesgos •Alcance •Metodología Identificación de Riesgos •Activos •Amenazas •Vulnerabilidades Análisis de Riesgos •Riesgos •Costos / Beneficios Plan de Acción •Tratamiento •Aceptar riesgo residual Monitoreo de los Riesgos Mitigar • Controles Transferir • Seguros • Proveedores Aceptar • No hacer nada Evitar • Cesar la actividad que lo origina Preparando la Operación
Un Análisis de Riesgo puede ser desarrollado con cualquier tipo de metodología, siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos. • El impacto que podría ocasionar un problema sobre cada uno. • Conjunto de acciones que pueden realizarse (agrupadas). • Propuesta varios cursos de acción posibles. • Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Costo/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar (…..o en definitiva a pagar…..). Preparando la Operación
Declaración de aplicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De la relación de los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
Interpretación Seguridad Interpretación Áreas de Negocio Interpretación Tecnología Declaración de aplicabilidad Objetivos de control Riesgos identificados Planes de tratamiento de riesgos Implantación de controles
Declaración de aplicabilidad
Declaración de aplicabilidad
Para asegurar la gestión de Seguridad de la información debemos necesariamente conocer cuáles son los procesos de nuestra Organización y como se trata la información en cada uno de ellos para de esta forma establecer cuáles son los alcances respecto de su “Ciclo de Vida” y que actividades vamos a establecer para la gestión de cada uno de los Activos de Información. Esto nos ayudará a entender cuál es la “cadena de información” y así poder establecer los medios tecnológicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos. 27001 y otros frameworks
Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que CObIT hace referencia como requerimientos de negocio para la información. Al establecer la lista de requerimientos, CObIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Requerimientos de calidad • Calidad • Costo • Entrega (de servicio) Requerimientos Fiduciarios (Administración de patrimonio terceros bajo su responsabilidad) - COSO • Efectividad & eficiencia de operaciones • Confiabilidad de la información • Cumplimiento de las leyes & regulaciones Requerimientos de Seguridad • Confidencialidad • Integridad • Disponibilidad 27001 y otros frameworks
27001 y otros frameworks
Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000: • Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS. • Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios. • Actividades de supervisión y evaluación de seguridad 27001 y otros frameworks
ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridad identificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL como ISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos del servicio con el fin de gestionar eficazmente los riesgos en la infraestructura 27001 y otros frameworks
Los ocho libros de ITIL y sus temas son: 1. Gestión de Servicios de TI 2. Mejores prácticas para la Provisión de Servicio 3. Mejores prácticas para el Soporte de Servicio Otras guías operativas 4. Gestión de la infraestructura de TI 5. Gestión de la seguridad 6. Perspectiva de negocio 7. Gestión de aplicaciones 8. Gestión de activos de software 27001 y otros frameworks
La norma ISO/IEC 20000-1 especifica los siguiente procesos de gestión de servicio relacionados entre sí: Procesos de Entrega de Servicios Procesos de Control Procesos de Versiones Procesos de Relaciones Procesos de Resolución Gestión de Configuraciones Gestión de Cambios Gestión de Niveles de Servicio Informes de Servicio Gestión de Incidentes Gestión de Problemas Gestión de Relaciones de Negocio Gestión de Proveedores Gestión de Versiones Gestión de Seguridad de la Información Presupuestación y Contabilización de Servicios de TI Gestión de Capacidad Gestión de Continuidad y Disponibilidad de Servicio 27001 y otros frameworks
La Certificación
Pre-Auditoría (opcional) Existencia y alcance apropiado del SGSI Auditoría de Certificación Fase 1 = Revisión de la documentación Fase 2 = Procesos y control Certificación Emisión del certificado Seguimiento anual Mejora continua La Certificación
Información documentada requerida para la certificación : 1. Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3) 2. Política de seguridad de la Información (cláusula 5.2) 3. Proceso de evaluación de riesgos (cláusula 6.1.2) 4. Proceso de tratamiento de riesgos (cláusula 6.1.3) 5. Objetivos de seguridad de la Información (cláusula 6.2) 6. Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2) 7. Otros documentos relacionados con el SGSI considerados necesarios en la Organización ( 7.5.1b cláusula ) 8. Documentos de planificación y control operacional (cláusula 8.1) 9. Resultados de las evaluaciones de riesgos (cláusula 8.2) 10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3) 11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1) 12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2) 13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3) 14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan (cláusula 10.1) 15. Otra información documentada; uso aceptable de los activos, política de control de acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con los proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones contractuales, procedimientos de continuidad La Certificación
La Certificación
ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos) ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua ISO/IEC 27002: Código de buenas prácticas para la gestión de la seguridad. Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización. Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799) ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. http://www.iso27000.es/iso27000.html#section3c Familia de Normas ISO/IEC 27000
ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo) ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo) ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo) ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información. ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores (en desarrollo) Familia de Normas ISO/IEC 27000
ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales. ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo) ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). (en desarrollo) ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo) ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación. (en desarrollo) ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. (en desarrollo) ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo) ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). (en desarrollo) ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Familia de Normas ISO/IEC 27000
Pág. 6-45 Director Certificado en Seguridad de la Información (Universidad CAECE) Auditoria y Control en Seguridad de la Información ITIL V3 Certified - ISO 20000 Internal Audit Certified Celular (5411) 15 3328-6859 http://ar.linkedin.com/in/fabiandescalzo https://mybizcard.co/fabian.descalzo.126280

Recomendados

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
ControlCase
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptx
cirodussan
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 

Recomendados

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
ControlCase
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptx
cirodussan
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
trabajofinal2
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
SGSI
SGSISGSI
SGSI
Alessa Paredes
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
Tanmay Shinde
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
David Solis
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 

Más contenido relacionado

La actualidad más candente

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 

La actualidad más candente (20)

Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Magerit
MageritMagerit
Magerit
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
SGSI
SGSISGSI
SGSI
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 

Destacado

Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
.. ..
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
José Andrés Gallardo Basualdo
 
ISO IEC 27001 2013
ISO IEC 27001 2013ISO IEC 27001 2013
ISO IEC 27001 2013
Ana Castillo
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Marco
 

Destacado (20)

Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
 
Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)
 
Plaza Huincul Conferencias abastecimiento estratégico y homologación proveedo...
Plaza Huincul Conferencias abastecimiento estratégico y homologación proveedo...Plaza Huincul Conferencias abastecimiento estratégico y homologación proveedo...
Plaza Huincul Conferencias abastecimiento estratégico y homologación proveedo...
 
ISO IEC 27001 2013
ISO IEC 27001 2013ISO IEC 27001 2013
ISO IEC 27001 2013
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 

Similar a 27001:2013 Seguridad orientada al negocio

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 

Similar a 27001:2013 Seguridad orientada al negocio (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
Fabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
Fabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
Fabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
Fabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
Fabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
Fabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
JAVIER SOLIS NOYOLA
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 

Último (20)

GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 

27001:2013 Seguridad orientada al negocio

  • 2. • Objetivo de la Norma ISO 27001 • Bases de la Norma ISO 27001 • Actualización a ISO 27001:2013 • Estructura de la Norma • Compromiso y alcance • Dominios de control • Soporte y operación • Declaración de Aplicabilidad • Negocio y otros Frameworks • La certificación • Familia de Normas ISO 27000 ISO 27001 2005 → 2013
  • 3. Este estándar fue desarrollado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI teniendo en cuenta la política, estructura organizativa, las normas, procedimientos y los recursos de la empresa. El SGSI de la ISO 27001 permite prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando a la Organización ante posibles emergencias, garantizando la continuidad del negocio. Objetivo
  • 4. La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio establecidos. • La Seguridad deja de ser sólo una cuestión técnica para ser parte del Plan de Negocio • Aplica a todos los niveles de la Organización. • Introduce el Análisis de Riesgo y un sistema de gestión orientado a la protección de la información (SGSI). • Define un conjunto de controles que no deja nada librado al azar. • Asocia Gobernabilidad con la Seguridad de la Información, mostrando un valor agregado de Calidad a los resultados del Negocio POLITICA DE SEGURIDAD DE LA INFORMACIÓN Bases de la 27001
  • 5. Requerimientos legales, reglamentarios y expectativas de seguridad de la información Clientes Proveedores Usuarios Accionistas Socios Seguridad de la información Gestionada Clientes Proveedores Usuarios Accionistas Socios Disponer de una gestión que asegure los procesos de negocio y el tratamiento de los datos propios o de terceros permite una… Bases de la 27001
  • 6. 27001:2013 • Pone más énfasis en la medición y evaluación del SGSI • Nueva sección sobre la contratación externa, la cual refleja el hecho de que muchas organizaciones dependen de terceros para la prestación de algunos aspectos de las TI. • No enfatiza en el ciclo Plan-Do-Check-Act explicitamente, presta más atención al contexto de Seguridad de la Información en la Organización • La 27001:2013 fue diseñada para ajustarse mejor a otras normas de gestión como ISO 9000 e ISO 20000
  • 7. SEGURIDAD PROCESOS FUNCIONALES PROCESOS TECNOLÓGICOS GOBERNABILIDAD CALIDAD NEGOCIO ISO 27014 – Gobierno de Seguridad de la Información ISO 20000 – Gestión de Servicios de TI Concepto clave
  • 8. 1. Ámbito de aplicación de la norma 2. Alcance 3. Términos y definiciones de la ISO / IEC 27000 4. Contexto organizacional y de las partes interesadas 5. Liderazgo en seguridad de la información y apoyo de alto nivel para la política 6. Planificación de un sistema de gestión de seguridad de la información; evaluación de riesgos; tratamiento de riesgos 7. Apoyar un sistema de gestión de seguridad de la información 8. Hacer un sistema de gestión de seguridad de información operativa 9. Revisar el funcionamiento del sistema 10.Acciones correctivas Anexo A: Lista de los controles y sus objetivos. Estructura de la Norma En la actualidad hay 114 controles en 14 grupos El viejo estándar tenía 133 controles en 11 grupos
  • 9. Estructura de la Norma Propone un marco genérico para cualquier sistema de gestión, a partir del cual toda norma ISO de sistema de gestión converja en una misma estructura común y con el mismo contenido salvo en su apartado 8.- Operación que será en el que, tras un primer apartado también común (8.1, de planificación y control operacional) cada norma desarrollará sus requisitos específicos (de seguridad, de continuidad, de gestión energética o de lo que sea). ANEXO SL (ex Guía ISO 83) Facilita la integración entre Normas
  • 10. 4. Sistema de Gestión de Seguridad de la Información 4.3 Requisitos de la Documentación 4.1 Generalidades 4.2 Implementación y gerenciamiento del SGSI 5. Responsabilidades de la Dirección 6. Auditoría interna del SGSI 7. Revisión del SGSI por parte de la Dirección 8. Mejora del SGSI 4. Contexto organizacional 7. Soporte 5. Liderazgo 6. Planificación 8. Operación 9. Evaluación de funcionamiento del SGSI 10. Mejoras y acciones correctivas Introducción, Alcance, Referencias Normativas, Términos y definiciones Estructura de la Norma 2005 2013
  • 11. ACTCHECKDOPLAN 4. Contexto organizacional 7. Soporte 5. Liderazgo 6. Planificación 8. Operación 9. Evaluación de funcionamiento del SGSI 10. Mejoras y acciones correctivas Entendimiento de la Organización y su contexto Expectativas de las partes interesadas Alcances del ISMS Liderazgo y compromiso de la Alta Dirección Políticas Organización de los roles, responsables y autoridades Como abordar riesgos y oportunidades Recursos, competencias, concientización, comunicación, información documentada Plan de tratamiento de riesgos Implementar el plan y documentar los resultados Plan de seguimiento, medición, análisis y evaluación Planear y realizar auditorías internas del SGSI Revisiones regulares de la Alta Dirección No conformidad y acciones correctivas Mejora continua del SGSI Estructura de la Norma - PDCA
  • 13. Política de Seguridad Organización de la seguridad Gestión de activos Control de accesos Conformidad Seguridad del personal Seguridad del entorno físico Seguridad del entorno tecnológico Gestión de incidentes de seguridad Gestión de operaciones Gestión de comunicaciones y operaciones Gestión de continuidad de negocio Seguridad Organizativa Seguridad lógica Seguridad física Seguridad legal TácticoOperativoEstratégico Estructura de la Norma
  • 14. ENTORNO = RIESGOS CUMPLIMIENTO Leyes, Regulaciones, Políticas Internas Asociar las áreas Legales, Auditoría y Seguridad con las áreas Funcionales y Tecnológicas GOBIERNO Establecer procesos funcionales y de servicio tecnológico protegidos, compliance y pensados para El Negocio Reconocer los diferentes riesgos y metodología para su gestión Estructura de la Norma
  • 15. Lo primero que debe reconocer la Organización es la importancia de uno de sus principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad. La Dirección debe reconocer que lo que se plantea es la implementación de un esquema de seguridad orientada al negocio, y toda Norma de Seguridad es una herramienta de que dispone (como marco normativo) para implantar la política y objetivo de Seguridad de la Información. Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan. Compromiso y alcance
  • 16. Objetivos de mejora en su gestión que busca alcanzar la Organización: • De gobierno, estructura organizativa, funciones y responsabilidades • Políticas, los objetivos y las estrategias que están en marcha para alcanzarlos • Las capacidades, entendidas en términos de recursos y de conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías) • Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales) • Relación con las percepciones y valores de los interesados internos: • Cultura de la organización • Normas, directrices y modelos adoptados por la organización • Forma y el alcance de las relaciones contractuales. Compromiso y alcance
  • 17. Áreas de Negocio Proceso Funcional Proceso de Servicios Tecnológicos y de Seguridad al Negocio Leyes y Regulaciones del Negocio Adopción del estándar Políticas, Normas y Procedimientos Registros y ControlesRegistros y Controles Compromiso y alcance
  • 18. Dominios de control (Anexo A)
  • 20. Según lo que establezca como alcance la Compañía a través de su Política de Seguridad, cada área de negocios participa en la gestión de: El Negocio Gestión de la Seguridad Gestión de Información Gestión con Terceras Partes Medios de Comunicación El Personal Funciones y responsabilidades Confidencialidad y contraseñas Uso de hardware Uso de software y aplicaciones Concientización y Educación Los sistemas de Información Seguridad Física del entorno Seguridad Física de los soportes Seguridad Lógica en los sistemas Manejo de incidentes La Revisión del Sistema Control de registros Auditorías de Sistemas Seguimiento del Cumplimiento Para aportar resultados y conocimientos para el control de: Soporte
  • 21. Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él. Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad. Incrementar la conciencia de la necesidad de proteger la información y a entrenar a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas. Soporte
  • 22. Nivel 4 = REGISTROS Proporciona las pruebas objetivas del cumplimiento Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOS Describe las actividades y tareas específicas , indicando como se realizan Nivel 2 = PROCEDIMIENTOS Describe procesos (qué, quien, cuando, donde) Nivel 1 = MANUAL DE SEGURIDAD Políticas, alcance, evaluación de riesgos, declaración de aplicabilidad Un Marco Normativo sobre estas bases permite contar con la certeza sobre la Información de respaldo y pruebas objetivas para el control y desarrollo de la Seguridad de la Información. Soporte
  • 23. RIESGOS NEGOCIO • Definir tipos de riesgos • Identificar riesgos asociados • Establecer parámetros de medición • Elegir una metodología de tratamiento • Analizar y evaluar riesgos • Crear un Plan de Mitigación • Identificar procesos • Analizar entorno regulatorio • Analizar cultura interna • Analizar madurez operativa • Analizar entorno documental MATRIZ DE RIESGO DIRECTORIO Preparando la Operación
  • 24. “Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos. “Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo. “Administración de Riesgos (Actualización al DD/MM/AAAA)”, • Detalle de nuevos riesgos y factores incorporados • Detalle de riesgos y factores dados de baja, con la correspondiente justificación de esta acción • Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado Preparando la Operación
  • 25. Evaluación y tratamiento de riesgos de seguridad Planificación de Administración de Riesgos •Alcance •Metodología Identificación de Riesgos •Activos •Amenazas •Vulnerabilidades Análisis de Riesgos •Riesgos •Costos / Beneficios Plan de Acción •Tratamiento •Aceptar riesgo residual Monitoreo de los Riesgos Mitigar • Controles Transferir • Seguros • Proveedores Aceptar • No hacer nada Evitar • Cesar la actividad que lo origina Preparando la Operación
  • 26. Un Análisis de Riesgo puede ser desarrollado con cualquier tipo de metodología, siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos. • El impacto que podría ocasionar un problema sobre cada uno. • Conjunto de acciones que pueden realizarse (agrupadas). • Propuesta varios cursos de acción posibles. • Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Costo/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar (…..o en definitiva a pagar…..). Preparando la Operación
  • 27. Declaración de aplicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De la relación de los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
  • 28. Interpretación Seguridad Interpretación Áreas de Negocio Interpretación Tecnología Declaración de aplicabilidad Objetivos de control Riesgos identificados Planes de tratamiento de riesgos Implantación de controles
  • 31. Para asegurar la gestión de Seguridad de la información debemos necesariamente conocer cuáles son los procesos de nuestra Organización y como se trata la información en cada uno de ellos para de esta forma establecer cuáles son los alcances respecto de su “Ciclo de Vida” y que actividades vamos a establecer para la gestión de cada uno de los Activos de Información. Esto nos ayudará a entender cuál es la “cadena de información” y así poder establecer los medios tecnológicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos. 27001 y otros frameworks
  • 32. Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que CObIT hace referencia como requerimientos de negocio para la información. Al establecer la lista de requerimientos, CObIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Requerimientos de calidad • Calidad • Costo • Entrega (de servicio) Requerimientos Fiduciarios (Administración de patrimonio terceros bajo su responsabilidad) - COSO • Efectividad & eficiencia de operaciones • Confiabilidad de la información • Cumplimiento de las leyes & regulaciones Requerimientos de Seguridad • Confidencialidad • Integridad • Disponibilidad 27001 y otros frameworks
  • 33. 27001 y otros frameworks
  • 34. Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000: • Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS. • Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios. • Actividades de supervisión y evaluación de seguridad 27001 y otros frameworks
  • 35. ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridad identificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL como ISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos del servicio con el fin de gestionar eficazmente los riesgos en la infraestructura 27001 y otros frameworks
  • 36. Los ocho libros de ITIL y sus temas son: 1. Gestión de Servicios de TI 2. Mejores prácticas para la Provisión de Servicio 3. Mejores prácticas para el Soporte de Servicio Otras guías operativas 4. Gestión de la infraestructura de TI 5. Gestión de la seguridad 6. Perspectiva de negocio 7. Gestión de aplicaciones 8. Gestión de activos de software 27001 y otros frameworks
  • 37. La norma ISO/IEC 20000-1 especifica los siguiente procesos de gestión de servicio relacionados entre sí: Procesos de Entrega de Servicios Procesos de Control Procesos de Versiones Procesos de Relaciones Procesos de Resolución Gestión de Configuraciones Gestión de Cambios Gestión de Niveles de Servicio Informes de Servicio Gestión de Incidentes Gestión de Problemas Gestión de Relaciones de Negocio Gestión de Proveedores Gestión de Versiones Gestión de Seguridad de la Información Presupuestación y Contabilización de Servicios de TI Gestión de Capacidad Gestión de Continuidad y Disponibilidad de Servicio 27001 y otros frameworks
  • 39. Pre-Auditoría (opcional) Existencia y alcance apropiado del SGSI Auditoría de Certificación Fase 1 = Revisión de la documentación Fase 2 = Procesos y control Certificación Emisión del certificado Seguimiento anual Mejora continua La Certificación
  • 40. Información documentada requerida para la certificación : 1. Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3) 2. Política de seguridad de la Información (cláusula 5.2) 3. Proceso de evaluación de riesgos (cláusula 6.1.2) 4. Proceso de tratamiento de riesgos (cláusula 6.1.3) 5. Objetivos de seguridad de la Información (cláusula 6.2) 6. Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2) 7. Otros documentos relacionados con el SGSI considerados necesarios en la Organización ( 7.5.1b cláusula ) 8. Documentos de planificación y control operacional (cláusula 8.1) 9. Resultados de las evaluaciones de riesgos (cláusula 8.2) 10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3) 11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1) 12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2) 13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3) 14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan (cláusula 10.1) 15. Otra información documentada; uso aceptable de los activos, política de control de acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con los proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones contractuales, procedimientos de continuidad La Certificación
  • 42. ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos) ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua ISO/IEC 27002: Código de buenas prácticas para la gestión de la seguridad. Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización. Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799) ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. http://www.iso27000.es/iso27000.html#section3c Familia de Normas ISO/IEC 27000
  • 43. ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo) ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo) ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo) ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información. ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores (en desarrollo) Familia de Normas ISO/IEC 27000
  • 44. ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales. ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo) ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). (en desarrollo) ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo) ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación. (en desarrollo) ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. (en desarrollo) ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo) ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). (en desarrollo) ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Familia de Normas ISO/IEC 27000
  • 45. Pág. 6-45 Director Certificado en Seguridad de la Información (Universidad CAECE) Auditoria y Control en Seguridad de la Información ITIL V3 Certified - ISO 20000 Internal Audit Certified Celular (5411) 15 3328-6859 http://ar.linkedin.com/in/fabiandescalzo https://mybizcard.co/fabian.descalzo.126280