Successfully reported this slideshow.

Iso 27000

32,899 views

Published on

Published in: Education

Iso 27000

  1. 1. ISO 27000<br />GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN<br />JULIANA BERMÚDEZ HENAO<br />
  2. 2. ¿Qué es ISO 27000 ?<br />Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.<br />
  3. 3. ISO 27000<br />ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN. <br />
  4. 4. ISO 27001<br />Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.<br />Este estándar internacional ha sidopreparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).<br />Este estándar promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización. <br />
  5. 5. Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI. <br />
  6. 6. PDCA<br />
  7. 7.
  8. 8. PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001<br /><ul><li>Identificar los objetivos de negocio
  9. 9. Seleccionar un alcance adecuado
  10. 10. Determinar el nivel de madurez ISO 27001
  11. 11. Analizar el retorno de inversión</li></li></ul><li>Términos y definiciones:<br /> <br /><ul><li>Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados.
  12. 12. Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.
  13. 13. Sistema de gestión de la seguridad de la información: esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información</li></li></ul><li>ISO 27002<br />Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. <br />
  14. 14.
  15. 15. La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:<br />
  16. 16. ISO 27003<br />Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.<br />
  17. 17. ISO 27004<br />Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.<br />
  18. 18. “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”<br />Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.<br />
  19. 19. MEDICIONES EN UN SGSGI : <br /> Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”.<br />EL MODELO Y MÉTODO PARA LAS MEDICIONES DE SEGURIDAD:<br />Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información.<br />3. DEFINICIÓN Y SELECCIÓN DE LAS MEDICIONES EN UN SGSI: <br />La norma especifica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.<br />
  20. 20. 4. OPERACIÓN DE LAS MEDICIONES DEL SGSI (FASE DO: HACER) :<br />La fase “Do” es una de las que establece el enlace entre las mediciones que resultan adecuadas para cubrir en la organización en un momento dado.<br />5. MEJORAS DE LAS MEDICIONES DEL SGSI (FASES CHECK Y ACT: MONITORIZAR/AUDITAR Y ACTUAR):<br />Las fases “Check” y “Act” facilitarán las mejoras y reencauces de los procesos de medición, y permitirán el análisis de la información de mediciones disponibles y su apoyo para la toma de decisiones.<br />6. LA DIRECCIÓN. <br />La Dirección debería establecer y mantener acuerdos en sus mediciones. Su implementación debe ser acorde a lo que establecen los estándares internacionales, teniendo en cuenta la aceptación de los requerimientos de mediciones.<br />
  21. 21. ISO 27005<br />Establece las directrices para la gestión del riesgo en la seguridad de la información.<br />Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.<br />
  22. 22. ISO 27006<br />Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.<br />
  23. 23. ISO 27011<br />Es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional<br />de Telecomunicaciones).<br />
  24. 24. Esta norma está orientada a los organismos que proporcionan procesos de apoyo e información en las telecomunicaciones, instalaciones de telecomunicaciones, redes y líneas y para los que éstos suponen importantes activos empresariales. <br />La gestión de la seguridad de la información es sumamente necesario con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con éxito sus actividades. <br />
  25. 25. ISO 27799<br />Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002)<br />Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.<br />

×