ISO 27000

9,540 views

Published on

Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?

Published in: Education
1 Comment
22 Likes
Statistics
Notes
No Downloads
Views
Total views
9,540
On SlideShare
0
From Embeds
0
Number of Embeds
1,255
Actions
Shares
0
Downloads
2
Comments
1
Likes
22
Embeds 0
No embeds

No notes for slide

ISO 27000

  1. 1. Normas ISO 27000: ¿para qué sirven? Dr Luis Castellanos Maracaibo, 2013. Revisión 2015
  2. 2. 27000 Contenido • ¿Qué es ISO? • ¿Qué es la Norma ISO 27000? • ¿Quiénes conforman la familia ISO 27000? • ¿Qué se gana con ISO 27000? • ¿En qué tipo de organizaciones se puede implantar ISO 27000? • ¿Qué ventajas trae ISO 27000? • ¿Qué hacer para implantar ISO 27000? Normas ISO 27000 1Dr Luis Castellanos
  3. 3. ¿Qué es ISO?
  4. 4. 27000 ¿Qué es ISO? ISO representa las siglas de la “International Standarization Organization” (Organización Internacional para la Normalización), cuya sede se encuentra en Suiza. Normas ISO 27000 3Dr Luis Castellanos
  5. 5. 27000 ¿Qué es ISO? Creada tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales, a excepción de la eléctrica y la electrónica. Normas ISO 27000 4Dr Luis Castellanos
  6. 6. 27000 ¿Qué es ISO? Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. Normas ISO 27000 5Dr Luis Castellanos
  7. 7. 27000 ¿Qué es ISO? Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país. Normas ISO 27000 6Dr Luis Castellanos
  8. 8. 27000 ¿Qué es ISO? ISO ha establecido más de 17000 estándares internacionales en materias que van desde el tamaño de las hojas de papel común (norma ISO 216) al uso de ISBN en libros (norma ISO 2108). Normas ISO 27000 7Dr Luis Castellanos
  9. 9. 27000 ¿Qué es ISO? Como en estos dos casos, muchas de las normas ISO son de uso requerido en Venezuela para la producción de determinados bienes por ser estándares internacionales aceptados. De hecho, la certificación de empresas venezolanas bajo las normas ISO, en muchos casos, son obligatorias si desean competir en el mercado internacional, conseguir contratos, o simplemente publicitar la calidad de sus productos. Normas ISO 27000 8Dr Luis Castellanos
  10. 10. 27000 ¿Qué es ISO? Algunos estándares, sin embargo, son nominativos y simplemente buscan hacer más fácil la transmisión de información. De estas normas las más características son la ISO 3166-1 (códigos para identificar países) y su derivada, la norma 4217, el estándar internacional para describir las divisas del mundo. Normas ISO 27000 9Dr Luis Castellanos
  11. 11. 27000 ¿Qué es ISO? En Venezuela, FONDONORMA, asociación civil sin fines de lucro, fue creada en 1973 con el fin de desarrollar las actividades de normalización y certificación en todos los sectores industriales y de servicios, y de formar recursos humanos en dichas especialidades. Normas ISO 27000 10Dr Luis Castellanos
  12. 12. ¿Qué es la Norma ISO 27000?
  13. 13. 27000 ¿Qué es la Norma ISO 27000? La norma ISO 27000 es una norma internacional y abierta, cuyo objetivo es establecer los requisitos mínimos con los que debe cumplir un Sistema de Gestión de la Seguridad de la Información (SGSI) en una organización. Normas ISO 27000 12Dr Luis Castellanos
  14. 14. 27000 ¿Qué es la Norma ISO 27000? Al igual que muchas normas ISO, la norma ISO 27000 se basa en la aplicación del ciclo PDCA (Plan-Do-Check-Act, Plani- fica-Ejecuta-Supervisa- Actúa) para la mejora del SGSI en la organización. Normas ISO 27000 13Dr Luis Castellanos
  15. 15. 27000 ¿Qué es la Norma ISO 27000? Implantando y certificando la norma ISO 27000 para el SGSI de la organización se puede demostrar de manera independiente que la entidad cumple con los requisitos mínimos para asegurar la seguridad de la información. Normas ISO 27000 14Dr Luis Castellanos
  16. 16. ¿Quiénes conforman la familia ISO 27000?
  17. 17. 27000 ¿Quiénes conforman la familia ISO 27000? Normas ISO 27000 16Dr Luis Castellanos http://www.ideasparapymes.com/red-proveedores/productos/ISO%2027000.png
  18. 18. 27000 ¿Qué es la Norma ISO 27000? • ISO 27000 - vocabulario estándar para el SGSI. • ISO 27001 - especifica los requisitos para la implantación del SGSI. •ISO 27002 - código de buenas prácticas para la gestión de seguridad de la información. •ISO 27003 - directrices para la implementación del SGSI. Normas ISO 27000 17Dr Luis Castellanos
  19. 19. 27000 ¿Qué es la Norma ISO 27000? • ISO 27004 - métricas para la gestión de seguridad de la información. • ISO 27005 - gestión de riesgos en seguridad de la información. • ISO 27006 - requisitos para acreditación de organizaciones que proporcionan certificación de SGSI. Normas ISO 27000 18Dr Luis Castellanos
  20. 20. 27000 ¿Qué es la Norma ISO 27000? • ISO 27007 - Es una guía para auditar al SGSI. • ISO 27799 - Es una guía para implementar ISO 27002 en la industria de la salud. • ISO 27035 - actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades. Normas ISO 27000 19Dr Luis Castellanos
  21. 21. ¿Qué se gana con ISO 27000?
  22. 22. 27000 ¿Qué se gana con ISO 27000? Implantar la norma ISO 27000 permite a las organizaciones demostrar que dispone de los controles y procedimientos adecuados para asegurar el tratamiento seguro de los datos y la información con la que se trata. Normas ISO 27000 21Dr Luis Castellanos
  23. 23. 27000 ¿Qué se gana con ISO 27000? Además, cuenta con un ciclo PDCA, que asegura la mejora continua en lo que respecta a los controles de seguridad establecidos en la organización. Normas ISO 27000 22Dr Luis Castellanos
  24. 24. 27000 ¿Qué se gana con ISO 27000? Además, implantando la norma ISO 27000 en la organización se obtiene un importante elemento diferenciador, que a un costo bajo permite destacar sobre la competencia a la hora de pujar sobre una oferta Normas ISO 27000 23Dr Luis Castellanos
  25. 25. ¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000?
  26. 26. 27000 ¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000? Esta norma puede aplicarse a cualquier organización para la que la información con la que trata sea importante. Por lo tanto, prácticamente cualquier organización que cuente con sistemas de información debería plantearse implantar la norma ISO 27000. Normas ISO 27000 25Dr Luis Castellanos
  27. 27. 27000 ¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000? No existe limitación en cuanto al tamaño de la organización. Implantando la norma ISO 27000 se establecerán controles y procedimientos adecuados a cada organización, en función de su capacidad para implantarlos. Normas ISO 27000 26Dr Luis Castellanos
  28. 28. 27000 ¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000? Normas ISO 27000 27Dr Luis Castellanos Existen 88.268 empresas certificadas con ISO 27000, en el mundo 229 699 2.041 24.704 1.283 7.526 51.787 Fuente: ISO Data Survey 2012
  29. 29. 27000 ¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000? Normas ISO 27000 28Dr Luis Castellanos Argentina: 77 Chile: 76 Bolivia: 6 Perú: 31 Ecuador: 6 Colombia: 144 Uruguay: 24 Brasil: 267 Guyana: 2 Venezuela: 1 Cuba: 4Barbados: 2 Pto Rico: 10 Jamaica: 2 Rep Dominicana: 7 Panamá: 4 Costa Rica: 27 Honduras: 2 El Salvador: 3 Guatemala: 3 699Empresas en Latinoamérica Fuente: ISO Data Survey 2012 Trinidad: 1
  30. 30. ¿Cuáles son las ventajas de aplicar la Norma ISO 27000?
  31. 31. 27000 ¿Cuáles son las ventajas de aplicar la Norma ISO 27000? • Aseguramiento de la seguridad de la información, lo que aumenta la confianza por parte del cliente • Elemento diferenciador, que permite destacar sobre la competencia • Cumplimiento de las normativas legales relativas a la protección de datos, lo que permite reducir los problemas con clientes y usuarios Normas ISO 27000 30Dr Luis Castellanos
  32. 32. ¿Qué hacer para implantar ISO 27000?
  33. 33. 27000 ¿Qué hacer para implantar ISO 27000? 1. Lograr el compromiso de la Gerencia. 2. Establecer y adiestrar el equipo de Implantación. 3. Elaborar la documentación del SGSI. 4. Auditar el SGSI. Normas ISO 27000 32Dr Luis Castellanos
  34. 34. 27000 ¿Qué hacer para implantar ISO 27000? Sin el compromiso de la Gerencia, el Sistema no tendrá el apoyo ni la fuerza para su aceptación e implantación en la organización. El efecto del apoyo debe caer en cascada, desde los niveles altos hacia abajo en la organización. Normas ISO 27000 33Dr Luis Castellanos
  35. 35. 27000 ¿Qué hacer para implantar ISO 27000? El equipo debe tener un líder establecido. Todos los miembros deben ser designados formalmente y deben recibir adiestramiento en Gestión de ISO 27000, Documentación y Auditoría, como mínimo. Normas ISO 27000 34Dr Luis Castellanos
  36. 36. 27000 ¿Qué hacer para implantar ISO 27000? La documentación se debe elaborar de la manera más sencilla posible. • Piense lo que hace • Escriba lo que piense • Haga lo que escribió Los manuales deben ser organismos vivos, sujetos a constante modificación, y disponibles para todos los que los requieran. Normas ISO 27000 35Dr Luis Castellanos
  37. 37. 27000 ¿Qué hacer para implantar ISO 27000? ¿Qué se debe documentar? • Evaluación y tratamiento de riesgos • Políticas de Seguridad • Aspectos Organizativos • Gestión de Activos • Seguridad del Talento Humano (antes y durante contratación) • Seguridad física y ambiental • Gestión de comunicaciones y operaciones • Control de accesos • Adquisición, desarrollo y mantenimiento de S.I. • Gestión de incidentes de seguridad Normas ISO 27000 36Dr Luis Castellanos
  38. 38. 27000 ¿Qué hacer para implantar ISO 27000? Se debe verificar, mediante Auditorías, que el SGSI está apto para funcionar. Si se presentan No Conformidades, se deben solucionar. Se pueden hacer Auditorías Internas para verificar, pero se deben hacer Auditorías Externas para la Certificación, por parte de los organismos autorizados. Normas ISO 27000 37Dr Luis Castellanos
  39. 39. 27000 ¿Qué hacer para implantar ISO 27000? Y, ¿en cuánto tiempo se hace? Depende del compromiso, de los recursos empleados, del conocimiento, y de factores externos que pueden influir. En promedio se puede llevar de 12 a 18 meses para su implantación. Normas ISO 27000 38Dr Luis Castellanos
  40. 40. 27000 ¿Qué hacer para implantar ISO 27000? Algunas empresas certificadas: Banco Agrario Banco de la República Ecopetrol Fiduciaria revisora Inducol Seguros La Equidad Normas ISO 27000 39Dr Luis Castellanos
  41. 41. 27000 Mapa Mental Normas ISO 27000 40Dr Luis Castellanos
  42. 42. Normas ISO 27000: ¿para qué sirven? Dr Luis Castellanos Gracias por su atención https://lciso27000.wordpress.com/ http://luiscastellanos.org luiscastellanos@yahoo.com @lrcastellanos

×