SlideShare a Scribd company logo

Punteros

Download as DOCX, PDF
marcosmendozap
marcosmendozap

Punteros

Engineering
1 of 13
REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN PORLAMAR ELECTIVA V ISO/IEC- 27002
INDICE GENERAL pp. INTRODUCCIÓN ………………………………………………………………………..1 CONTENIDO……..……………………………………………………………………....2 CONCLUSIÓN……………………………..……....................................………….….9 REFERENCIAS BIBLIOGRÁFICAS.…………………………………………………10
INTRODUCCION En el mundo de la seguridad informática y en particular para las empresas y organizaciones relacionadas con las tecnologías de la información, es de gran importancia contar con procesos y procedimientos establecidos y estudiados, que garanticen la legalidad de la información, todo ello por la competitividad entre las organizaciones. Tales procesos deben estar guiados por unos estándares o normas, bajo los cuales se apoya la gestión de riesgo y el aseguramiento de la información, que en nuestro caso de estudio y como tema de investigación, se seleccionó al estándar ISO/ IEC-27002. Las normas ISO son estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organizaciones internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías. En concreto la familia de normas ISO/IEC-27000 representan un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo), que proporciona un marco para la gestión de la seguridad. El mismo contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), utilizables por cualquier tipo de organización, pública o privada, grande o pequeña. Surgen entonces las siguientes interrogantes: ¿cuál es la definición del estándar ISO/IEC-27002 y cuán es su importancia? 1
Responder a estas preguntas, nos conduce al desarrollo de la investigación, plasmado en el contenido a continuación. CONTENIDO ISO/IEC-27002 establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. La seguridad de la información se consigue implementando un conjunto de controles adecuados, como por ejemplo: políticas, procesos, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles se deben establecer, implementar, supervisar, revisar, mejorar y notificar para garantizar el cumplimiento de los objetivos empresariales y de seguridad específicos de la organización. Este estándar surge como consecuencia de la aprobación de la norma ISO/IEZAC 27001 en octubre del año 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información; por lo que luego el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado ISO/IEC 27002 en el año 2007. Es por lo tanto el estándar que antiguamente se denominaba ISO/IEC-17799. Se señalan su versión, alcance, estructura, evaluación de riesgos de seguridad, políticas de seguridad, aspectos organizativos de la seguridad de la información, implementación y análisis FODA. Versión: La versión actualizada es la que se corresponde con la generada en el año 2013, la cual describe los trece dominios principales, que a continuación se señalan: 2
1. Organización de la Seguridad de la Información. 2. Seguridad de los Recursos Humanos. 3. Gestión de los Activos. 4. Control de Accesos. 5. Criptografía. 6. Seguridad Física y Ambiental. 7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información. 8. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información. 9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas. 10.Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores. 11.Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de éste tipo de incidencias y mejoras. 12.Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias. 13.Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información. 3
Dentro de cada especificación, se detallan los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones, aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Alcance: Su alcance va orientado a la seguridad de la información en las empresas u organizaciones, de tal manera que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. Estructura: En cuanto a su estructura, posee categorías de seguridad compuesta por las siguientes 11 (once) cláusulas: 4
1) Política de seguridad. 2) Aspectos organizativos de la seguridad de la información. 3) Gestión de activos. 4) Seguridad ligada a los recursos humanos. 5) Seguridad física y ambiental. 6) Gestión de comunicaciones y operaciones. 7) Control de acceso. 8) Adquisición, desarrollo y mantenimiento de los sistemas de información. 9) Gestión de incidentes en la seguridad de la información. 10) Gestión de la continuidad del negocio. 11) Cumplimiento. Evaluación de los riesgos de seguridad: La evaluación implica el priorizar, cuantificar e identificar los riesgos de seguridad, para luego aplicar medidas de control que permitan reducir el riesgo de seguridad de la información y en consecuencia de la organización. 5
Reducir el riesgo de seguridad no depende solamente de quienes tienen esa tarea como asignación, se deben seguir y aplicar medidas adecuadas y eficientes, tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales que conduzcan al logro de los objetivos organizacionales. De cualquier manera aun cuando se evalúen los riesgos de seguridad, nunca la seguridad será completa. Políticas de Seguridad: Se refiere a un documento manejado por la gerencia de la empresa, donde se plasmen lineamientos claros de implementación de medidas de seguridad de la información, compuesto por la definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación y gestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad,. El documento es estrictamente confidencial, pues si se distribuye fuera de la organización, no debería divulgar información que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.). 6
Puede suceder que la empresa posea políticas de seguridad y sin embargo las mismas no sean aplicadas de manera correcta; por lo que se pondría en riesgo la seguridad de la información. Aspectos Organizativos de Seguridad de la Información: Al respecto, existen medidas organizativas internas, que son aquellas que aplica, distribuye y comparten internamente los miembros de una organización y las medidas organizativas externas, que son las que se comparten con otras organizaciones. Se requiere por lo tanto, un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro y fuera de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado. 7  Organizar foros de gestión adecuados conlas gerencias la política de seguridad de la información.  Designar roles de seguridad y coordinar la implantación de la seguridad en toda la organización. Organización Interna
Implementación: La implementación del estándar ISO/IEC-27002 se lleva a cabo en sistemas de gestión y de información básicamente, aplicando los 11 (once) controles o cláusulas señaladas en la sección Estructura. Un ejemplo de la implementación de la norma, se puede apreciar en el siguiente mapa mental. 8 Se establecen directricesyprincipios para iniciar, implementar, mantenery mejorar la gestión de la seguridad de la información. - Evaluaciónytratamientode riesgo. - Establecer políticas de seguridad. - Organización de la seguridad de la información. - Gestión de activos. - Seguridad de los recursos humanos. - Seguridad física y del entorno. - Gestión de comunicaciones y operaciones. - Control de acceso. - Adquisición, desarrollo y mantenimiento de sistemas de información. - Gestión de los incidentes. - Gestión de la continuidad del negocio. - Cumplimiento. OBJETIVOS REUERIMIENTOS ISO 27002 NORMAS TÉCNICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
Análisis FODA: FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS Estándar adoptadoen Ecuador como NTE ISO/IEC27002 Por serinternacional se puede aplicara cualquier institución En losobjetivosde control no se contemplala trazabilidad Es una norma conceptual,nose tienen lasherramientas puntualesparasu implementación Cada control posee su guía de implementación Para su implementación no se requiere larevisión de los133 controles, sololosque aplique ala organización No esuna guía madura para el análisisde riesgo Esta norma no es certificable Fácil adaptaciónpara cada organización Guía para mejorarla seguridadde la información
CONCLUSION La norma o estándar ISO/IEC-27002 proporciona a las empresas, recomendaciones de las mejores prácticas en la gestión de seguridad de la información, así como para los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información, siendo para este estándar la seguridad de la información la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de procesos sean exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). 9 Es por ello que el hecho de cumplir a cabalidad con el estándar internacional ISO/IEC-27002 no garantiza al 100%, el hecho de que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad, al reducir el riesgo de la seguridad de la información. REFERENCIAS BIBLIOGRAFICAS  ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.  Romo D., Valarezco J, Universidad Saleciana de Ecuador, Tesis, Ecuador 2012
10

Recommended

norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 

Recommended

norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickJuan
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002FabiolaGumucio
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
I S O 27001
I S O 27001I S O 27001
I S O 27001karen figueroa hrderera
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO paokatherine
 

More Related Content

What's hot

Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickJuan
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 

What's hot (18)

Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno Dick
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 

Similar to Punteros

Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7Whitman Perez
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaPedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 

Similar to Punteros (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 

More from marcosmendozap

Ejercicio de listas de lenguaje c
Ejercicio de listas de lenguaje cEjercicio de listas de lenguaje c
Ejercicio de listas de lenguaje cmarcosmendozap
 
Sistema de gestion de bases de datos.cmap
Sistema de gestion de bases de datos.cmapSistema de gestion de bases de datos.cmap
Sistema de gestion de bases de datos.cmapmarcosmendozap
 

More from marcosmendozap (11)

Marcos mendoza ing-2
Marcos mendoza ing-2Marcos mendoza ing-2
Marcos mendoza ing-2
 
Marcos mendoza ensayo
Marcos mendoza ensayoMarcos mendoza ensayo
Marcos mendoza ensayo
 
Marcos mendoza ensayo
Marcos mendoza ensayoMarcos mendoza ensayo
Marcos mendoza ensayo
 
Marcos mendoza ing
Marcos mendoza ingMarcos mendoza ing
Marcos mendoza ing
 
Ejercicio de listas de lenguaje c
Ejercicio de listas de lenguaje cEjercicio de listas de lenguaje c
Ejercicio de listas de lenguaje c
 
Sistema de gestion de bases de datos.cmap
Sistema de gestion de bases de datos.cmapSistema de gestion de bases de datos.cmap
Sistema de gestion de bases de datos.cmap
 
Ejercicios 1
Ejercicios 1Ejercicios 1
Ejercicios 1
 
Ejercicios 1
Ejercicios 1Ejercicios 1
Ejercicios 1
 
Ejercicios 1
Ejercicios 1Ejercicios 1
Ejercicios 1
 
Reticulos
ReticulosReticulos
Reticulos
 
Balance general
Balance generalBalance general
Balance general
 

Recently uploaded

Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Dr. Edwin Hernandez
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxwilliam801689
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...GuillermoRodriguez239462
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfELIZABETHCRUZVALENCI
 
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdfFUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdfalfredoivan1
 
ingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxjhorbycoralsanchez
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.pptjacnuevarisaralda22
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOFernando Bravo
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfrefrielectriccarlyz
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potableFabricioMogroMantill
 
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfCONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfwduranteg
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDEdith Puclla
 
libro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacioneslibro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacionesRamon Bartolozzi
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologicaJUDITHYEMELINHUARIPA
 
Sistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internaSistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internamengual57
 
metodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasmetodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasGraciaMatute1
 
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)Ricardo705519
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALEdwinC23
 
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptxEFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptxfranklingerardoloma
 
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfCI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfsarm0803
 

Recently uploaded (20)

Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docx
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
 
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdfFUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
 
ingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptx
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECO
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potable
 
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfCONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
 
libro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacioneslibro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operaciones
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica
 
Sistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internaSistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión interna
 
metodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasmetodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantas
 
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
 
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptxEFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
 
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfCI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
 

Punteros

  • 1. REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN PORLAMAR ELECTIVA V ISO/IEC- 27002
  • 3. INTRODUCCION En el mundo de la seguridad informática y en particular para las empresas y organizaciones relacionadas con las tecnologías de la información, es de gran importancia contar con procesos y procedimientos establecidos y estudiados, que garanticen la legalidad de la información, todo ello por la competitividad entre las organizaciones. Tales procesos deben estar guiados por unos estándares o normas, bajo los cuales se apoya la gestión de riesgo y el aseguramiento de la información, que en nuestro caso de estudio y como tema de investigación, se seleccionó al estándar ISO/ IEC-27002. Las normas ISO son estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organizaciones internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías. En concreto la familia de normas ISO/IEC-27000 representan un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo), que proporciona un marco para la gestión de la seguridad. El mismo contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), utilizables por cualquier tipo de organización, pública o privada, grande o pequeña. Surgen entonces las siguientes interrogantes: ¿cuál es la definición del estándar ISO/IEC-27002 y cuán es su importancia? 1
  • 4. Responder a estas preguntas, nos conduce al desarrollo de la investigación, plasmado en el contenido a continuación. CONTENIDO ISO/IEC-27002 establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. La seguridad de la información se consigue implementando un conjunto de controles adecuados, como por ejemplo: políticas, procesos, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles se deben establecer, implementar, supervisar, revisar, mejorar y notificar para garantizar el cumplimiento de los objetivos empresariales y de seguridad específicos de la organización. Este estándar surge como consecuencia de la aprobación de la norma ISO/IEZAC 27001 en octubre del año 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información; por lo que luego el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado ISO/IEC 27002 en el año 2007. Es por lo tanto el estándar que antiguamente se denominaba ISO/IEC-17799. Se señalan su versión, alcance, estructura, evaluación de riesgos de seguridad, políticas de seguridad, aspectos organizativos de la seguridad de la información, implementación y análisis FODA. Versión: La versión actualizada es la que se corresponde con la generada en el año 2013, la cual describe los trece dominios principales, que a continuación se señalan: 2
  • 5. 1. Organización de la Seguridad de la Información. 2. Seguridad de los Recursos Humanos. 3. Gestión de los Activos. 4. Control de Accesos. 5. Criptografía. 6. Seguridad Física y Ambiental. 7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información. 8. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información. 9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas. 10.Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores. 11.Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de éste tipo de incidencias y mejoras. 12.Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias. 13.Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información. 3
  • 6. Dentro de cada especificación, se detallan los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones, aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Alcance: Su alcance va orientado a la seguridad de la información en las empresas u organizaciones, de tal manera que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. Estructura: En cuanto a su estructura, posee categorías de seguridad compuesta por las siguientes 11 (once) cláusulas: 4
  • 7. 1) Política de seguridad. 2) Aspectos organizativos de la seguridad de la información. 3) Gestión de activos. 4) Seguridad ligada a los recursos humanos. 5) Seguridad física y ambiental. 6) Gestión de comunicaciones y operaciones. 7) Control de acceso. 8) Adquisición, desarrollo y mantenimiento de los sistemas de información. 9) Gestión de incidentes en la seguridad de la información. 10) Gestión de la continuidad del negocio. 11) Cumplimiento. Evaluación de los riesgos de seguridad: La evaluación implica el priorizar, cuantificar e identificar los riesgos de seguridad, para luego aplicar medidas de control que permitan reducir el riesgo de seguridad de la información y en consecuencia de la organización. 5
  • 8. Reducir el riesgo de seguridad no depende solamente de quienes tienen esa tarea como asignación, se deben seguir y aplicar medidas adecuadas y eficientes, tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales que conduzcan al logro de los objetivos organizacionales. De cualquier manera aun cuando se evalúen los riesgos de seguridad, nunca la seguridad será completa. Políticas de Seguridad: Se refiere a un documento manejado por la gerencia de la empresa, donde se plasmen lineamientos claros de implementación de medidas de seguridad de la información, compuesto por la definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación y gestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad,. El documento es estrictamente confidencial, pues si se distribuye fuera de la organización, no debería divulgar información que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.). 6
  • 9. Puede suceder que la empresa posea políticas de seguridad y sin embargo las mismas no sean aplicadas de manera correcta; por lo que se pondría en riesgo la seguridad de la información. Aspectos Organizativos de Seguridad de la Información: Al respecto, existen medidas organizativas internas, que son aquellas que aplica, distribuye y comparten internamente los miembros de una organización y las medidas organizativas externas, que son las que se comparten con otras organizaciones. Se requiere por lo tanto, un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro y fuera de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado. 7  Organizar foros de gestión adecuados conlas gerencias la política de seguridad de la información.  Designar roles de seguridad y coordinar la implantación de la seguridad en toda la organización. Organización Interna
  • 10. Implementación: La implementación del estándar ISO/IEC-27002 se lleva a cabo en sistemas de gestión y de información básicamente, aplicando los 11 (once) controles o cláusulas señaladas en la sección Estructura. Un ejemplo de la implementación de la norma, se puede apreciar en el siguiente mapa mental. 8 Se establecen directricesyprincipios para iniciar, implementar, mantenery mejorar la gestión de la seguridad de la información. - Evaluaciónytratamientode riesgo. - Establecer políticas de seguridad. - Organización de la seguridad de la información. - Gestión de activos. - Seguridad de los recursos humanos. - Seguridad física y del entorno. - Gestión de comunicaciones y operaciones. - Control de acceso. - Adquisición, desarrollo y mantenimiento de sistemas de información. - Gestión de los incidentes. - Gestión de la continuidad del negocio. - Cumplimiento. OBJETIVOS REUERIMIENTOS ISO 27002 NORMAS TÉCNICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
  • 11. Análisis FODA: FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS Estándar adoptadoen Ecuador como NTE ISO/IEC27002 Por serinternacional se puede aplicara cualquier institución En losobjetivosde control no se contemplala trazabilidad Es una norma conceptual,nose tienen lasherramientas puntualesparasu implementación Cada control posee su guía de implementación Para su implementación no se requiere larevisión de los133 controles, sololosque aplique ala organización No esuna guía madura para el análisisde riesgo Esta norma no es certificable Fácil adaptaciónpara cada organización Guía para mejorarla seguridadde la información
  • 12. CONCLUSION La norma o estándar ISO/IEC-27002 proporciona a las empresas, recomendaciones de las mejores prácticas en la gestión de seguridad de la información, así como para los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información, siendo para este estándar la seguridad de la información la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de procesos sean exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). 9 Es por ello que el hecho de cumplir a cabalidad con el estándar internacional ISO/IEC-27002 no garantiza al 100%, el hecho de que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad, al reducir el riesgo de la seguridad de la información. REFERENCIAS BIBLIOGRAFICAS  ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.  Romo D., Valarezco J, Universidad Saleciana de Ecuador, Tesis, Ecuador 2012
  • 13. 10