1. UNIVERSIDAD VERACRUZANA
Catedrático:
M.C. e ING. Mauricio Cruz Cervantes.
Materia:
Tecnologías para Redes Móviles.
Integrantes:
Perla del Carmen Bautista Rivera.
Karen Guadalupe Cadena Palacios.
Julio Cesar Morales Velázquez.
FACULTAD DE CONTADURIA
REGION POZA RICA – TUXPAN.
2. ¿QUE ES ISO?
ISO (International Organization for Standardization) es una federación
internacional con sede en Ginebra (Suiza) de los institutos de
normalización de 157 países (uno por cada país). Es una organización
no gubernamental (sus miembros no son delegados de gobiernos
nacionales), ISO desarrolla estándares requeridos por el mercado que
representen un consenso de sus miembros (previo consenso nacional
entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de
productos, tecnologías, métodos de gestión, etc.
3. ¿Qué es un estándar?
Es una publicación que recoge el trabajo en común de los comités de
fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones técnicas y mejores
prácticas en la experiencia profesional con el objeto de ser utilizada
como regulación, guía o definición para las necesidades demandadas
por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y
efectividad de materiales, productos, procesos o servicios que utilizan
todas las partes interesadas (productores, vendedores, compradores,
usuarios y reguladores).
4. ¿Qué es AENOR y cuál es su relación con
ISO?
AENOR es una entidad española de normalización y certificación en
todos los sectores industriales y de servicios. En su vertiente de
normalización, tiene encomendada esta tarea por la Administración
española y es el representante de España en ISO.
En su vertiente de certificación, opera en el mercado como cualquier otra
entidad privada de certificación y no tiene concedida ninguna
exclusividad.
5. Introduccion.
• Algunas de las normas que conforman la serie 27000 van orientadas
precisamente a documentar mejores prácticas en aspectos o incluso
cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite
reinventar la rueda con el sustancial ahorro de tiempo en la
implantación. Está compuesta a grandes rasgos por:
ISMS(Information Security Management System).
Valoración de Riesgo.
Controles.
6. Definición
● Es un conjunto de estándares desarrollados o en fase desarrollo por
ISO e IEC, que proporciona un marco de gestión de la seguridad de
la información utilizable por cualquier tipo de organización publica o
privada, grande o pequeña.
7. Origen.
● Desde 1901, y como primera entidad de normalización a
nivel mundial, BSI es responsable de la publicacion de
importantes normas como:
● 1979 publicacion de BS 5750 - ahora ISO 9001
● 1992 publicacion de BS 7750 - ahora 14001
● 1996 publicacion de BS 8800 - ahora OHSAS 18001
BSI, instituto britanico de estandares.
8. Desarrollo.
• A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de
estándares desarrollados -o en fase de desarrollo- por ISO
(International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión
de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
9. • Asimismo, ISO ha continuado, y continúa aún, desarrollando otras
normas dentro de la serie 27000 que sirvan de apoyo a las
organizaciones en la interpretación e implementación de ISO/IEC 27001,
que es la norma principal y única certificable dentro de la serie.
En ese apartado se resumen las distintas normas que componen la serie
ISO 27000 y se indica cómo puede una organización implantar un
sistema de gestión de seguridad de la información (SGSI) basado en ISO
27001 en conjunto con otras normas de la serie 27k pero también con
otros sistemas de gestión.
10. Beneficios.
• Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
• Reducción del riesgo de perdida, robo o corrupción de información.
• Los clientes tienen acceso a la información atraves de medidas de
seguridad.
• Los riesgos y sus controles son continuamente revisados.
11. ● Confianza de clientes y socios estratégicos por la garantía de calidad y
las áreas de mejora.
• Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO
14001, etc.).
• Contonuidad de las operaciones necesarias de negocios tras incidentes
de gravedad.
12. Desventajas.
• Si desea acceder a las normas completas, debe saber que éstas no
son de libre difusión sino que han de ser adquiridas.
• Para los originales en inglés, puede hacerlo online EN LA
ORGANIZACION: iso.org
• Adicionalmente existe la opción de una previsualización del índice con
los contenidos de los originales publicados online en la tienda virtual
oficial: webstore.iec.ch
13. • Las normas en español pueden adquirirse en España en AENOR, así
como en otras entidades de normalización nacionales y responsables
de la publicación traducida de los estándares internacionales de
mayor interés a nivel local. Esto explica la salida de publicaciones
traducidas tan dispar en el tiempo y según el país.
• Las entidades de normalización responsables de la publicación y venta
de normas en cada país hispanoamericano (es decir, las homólogas
del AENOR español) las puede encontrar listadas en nuestra sección
de "Enlaces", bajo"Acreditación y Normalización".
14.
15. Planificación
• Definir el alcance del SGSI: en función de características del negocio,
organización, localización, activos y tecnología, definir el alcance y los
limites de SGSI.
• Definir política de seguridad: que incluya el marco general y los
objetivos de seguridad de la información de la organización, tenga en
cuenta los requisitos del negocio, legales y contracturales.
18. Aspectos clave.
● Compromiso y apoyo de la dirección de la organización.
● Definición clara de un alcance apropiado.
● Concienticiacion y formación del personal.
● Evaluación de riesgos exhaustiva y adecuada a la
organización.
● Compromiso de mejora continua.
● Establecimientos de políticas y normas.
● Organización y comunicación.
19. Fundamentos de Seguridad Informática
Un servicio de seguridad es aquel que mejora la seguridad de un sistema
de información y el flujo de información de una organización. Los servicios
están dirigidos a evitar los ataques de seguridad y utilizan uno o más
mecanismos de seguridad para proveer el servicio. Se clasifican en:
● Confidencialidad.
● Autenticacion.
● Integridad.
● No repudio.
● Control de acceso.
20. La serie ISO 27000
● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y
deficiniciones especificas.
● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones.
● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI.
● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de
la informacion.
● ISO 27006.- Presentacion de las
organizaciones ISO y sus activiades.
22. Objetivo de la familia ISO 27000
● Esta familia de normas que tiene como objetivo definir requisitos para
un sistema de gestión de la seguridad de la información (SGSI), con el
fin de garantizar la selección de controles de seguridad adecuados y
proporcionales, protegiendo así la información, es recomendable para
cualquier empresa grande o pequeña de cualquier parte del mundo y
más especialmente para aquellos sectores que tengan información
crítica o gestionen la información de otras empresas.
23. DEFINICION DE LA FAMILIA 27000.
● ISO/IEC 27000: Esta norma proporciona una visión general de las
normas que componen la serie 27000, una introducción a los
Sistemas de Gestión de Seguridad de la Información.
● ISO/IEC 27001: Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información.
● ISO/IEC 27002: Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a
seguridad de la información.
24. ● ISO/IEC 27003: No certificable. Es una guía que se centra en los
aspectos críticos necesarios para el diseño e implementación con
éxito de un SGSI de acuerdo ISO/IEC 27001:2005.
● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y
utilización de métricas y técnicas de medida aplicables para
determinar la eficacia de un SGSI.
● ISO/IEC 27005: No certificable. Proporciona directrices para la
gestión del riesgo en la seguridad de la información.
25. CERTIFICACION DE ISO 27000
● La norma ISO 27000 (la principal de la familia) es certificable por una
entidad de certificación externa y su implantación puede tardar de 6 a
12 meses dependiendo del nivel de seguridad de la información y del
alcance de la empresa en la que se implante y es preferible realizar
el proceso con ayuda de alguna consultoría externa a la
organización.
26. ¿Quién certifica a mi empresa en
ISO?
Una entidad de certificación acreditada, mediante una auditoría. Esta
entidad establece el número de días y auditores necesarios, puede
realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría
formal. Si el informe es favorable, la empresa recibirá la certificación.
¿Por qué crece el número de empresas certificadas?
Adicionalmente a los requisitos legales establecidos para auditorías
financieras, gestión de riesgos, financiación, plan de desastres,
continuidad de negocio, etc., crece el número de requisitos legales
relacionados con la protección de los datos de carácter personal.
27. En México quien certifica en ISO
27000?
● DGN en Mexico es la encarga de otorgar las certificaciones atraves
México ha implementado el Sistema Nacional de Normalización,
Metrología y Sistema de evaluación de la conformidad, que es coordinado
por la Dirección General de Normas (DGN, por sus siglas en español) del
Ministerio de Economía. DGN: - participa en las organizaciones
internacionales y otros foros pertinentes para representar los intereses de
nuestros sectores nacionales; - coordina el desarrollo de normas y
estándares nacionales de su competencia y registra organismos
nacionales de normalización para emitir normas;
28. DGN en México
● El objetivo general del sistema es coordinar el desarrollo de normas y
los reglamentos y promover su uso. El sistema consta de tres
actividades fundamentales: nacional de normalización (incluidas las
reglamentaciones) e internacional, metrología y acreditación y
evaluación de la conformidad. Para maximizar la eficiencia y la
eficacia de estas funciones, autoriza a la Entidad de Acreditación y
supervisa su trabajo, así como el cumplimiento de los reglamentos
bajo la responsabilidad de DGN; - cuestiones de reglamentación
sobre metrológicas Instrumentos y aprueba prototipos y modelos de
cumplimiento, y también participa en los foros de metrología
pertinentes.
29. CERTIFICACION DE EMPRESAS
MEXICANAS, (quienes lo realizan)
Existe un registro internacional de referencia de organizaciones
certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com
y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
31. ¿Quién acredita a las entidades
certificadoras?
Cada país tiene una entidad de acreditación (algunos, varias) que se
encarga de supervisar que las entidades de certificación (las que,
finalmente, auditan y certifican los sistemas de gestión de las empresas)
están capacitadas para desempeñar su labor y se ajustan a los
esquemas establecidos. También se da el caso de entidades
certificadoras con actividades en un país determinado que expiden
certificados bajo esquema de acreditación de una entidad de
acreditación extranjera.
32. ¿Cómo es el proceso de
certificación?
1) Solicitud por parte del interesado a la entidad de certificación y toma
de datos por parte de la misma.
2) Respuesta en forma de oferta por parte de la entidad certificadora.
3) Compromiso.
4) Designación de auditores, determinación de fechas y establecimiento
conjunto del plan de auditoría.
5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa
que aporte información sobre la situación actual y oriente mejor sobre
las posibilidades de superar la auditoría real.
33. 6) Fase 1 de la auditoría: revisión del alcance, política de seguridad,
Dirección, análisis de riesgos, declaración de aplicabilidad y
procedimientos clave.
7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la
implantación de los controles de seguridad y verificación de la efectividad
del sistema.
8) Certificación: acciones correctivas en caso de no conformidades
graves, revisión y emisión de certificado en caso de informe favorable.
9) Auditoría de re-certificación: cada tres años, una auditoría de
certificación formal completa.
34. ¿Qué es un SGSI?
Los activos de información de una organización, independientemente del
soporte que se encuentra (correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de cálculo,
faxes, presentaciones, contratos, registros de clientes, información
confidencial de trabajadores y colaboradores. Implica que la
organización ha estudiado los riesgos a los que está sometida toda su
información, ha evaluado qué nivel de riesgo asume, ha implantado
controles (no sólo tecnológicos, sino también organizativos) para
aquellos riesgos que superan dicho nivel.
35. Si la seguridad total no existe, ¿qué
diferencia aporta un SGSI?
Un SGSI es el modo más eficaz de conseguir minimizar los riesgos,
asegurar la continuidad adecuada de las actividades de negocio hasta
en los casos más extremos y de adaptar la seguridad a los cambios
continuos que se producen en la empresa y en su entorno. Aunque
nunca logremos la seguridad total, nos acercamos a ella mediante una
mejora continua. Es más apropiado hablar en términos de riesgo
asumible en lugar de seguridad total, ya que no sería lógico que el gasto
en seguridad sea mayor que los impactos potenciales de los riesgos que
pretende evitar.
36. ¿Alguien puede obligarme a certificarme
en ISO 27001?
Como obligación legal existen países y sectores concretos (por ej.
Sanitario) en los que se exige la certificación ISO 27001 a los
proveedores de servicios vinculados. Existen regulaciones recientes en
España, como el Esquema Nacional de Seguridad en el ámbito de la
administración electrónica, en los que se establecen las condiciones
necesarias para la confianza en el uso de los medios electrónicos y
entre las que se encuentran la implantación de SGSIs.