Iso 27001

www.ascendiarc.com

www.ascendiarc.com

www.ascendiarc.com

VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓNSEGÚN LA NORMA ISO / IEC 27001:2005

www.ascendiarc.com

>INTRODUCCIÓN

> SEGURIDAD DE LA INFORMACIÓN

> OBJETIVOS DEL SGSI

> ESTRUCTURA DE LA NORMA ISO 27001

> ESTRUCTURA DE LA NORMA ISO 27002

> FASES DE LA IMPLANTACIÓN DE UN SGSI

ÍNDICE

www.ascendiarc.com

gestionar = dirigir

¿eficientemente? = ¿suena bien?

conseguir los objetivos = alcanzar el éxito

SIMIL: ORQUESTA DE MÚSICA

La orquesta suena bien si todos:

Saben tocar bien

Pueden tocar bien

Quieren tocar bien

Se alcanza el éxito

¿Qué es un Sistema de Gestión?

INTRODUCCIÓN

www.ascendiarc.com

La información es un activo vital para la continuidad y desarrollo de cualquier organización.

Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial.

¿Qué es un Sistema de Gestión de la Seguridad de la Información?

INTRODUCCIÓN

• Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc.

• Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa.

Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad.

www.ascendiarc.com

ALCANCE DEL SGSI

De cara al exterior, mejora la imagen de rigor

Único modelo internacionalmente reconocido para implantación de un SGSI

Dotar al sistema de niveles aceptables de:

Confidencialidad

Integridad

Disponibilidad

¿Por qué escoger la norma ISO 27001:2005?

www.ascendiarc.com

Necesidad del implantación de un Sistema de Gestión

BENEFICIOS DEL SGSI

Por la gran cantidad de datos generados

Por la propia estructura organizativa del sistema (varios participantes)

Por las ventajas derivadas de la ordenación y documentación de acciones y

procesos

Averías o cualquier imprevisto

Cambios de personal

Reducción de los riesgos a un nivel aceptable

Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la

información

Cumplir con las leyes y reglamentaciones previstas

Resultados tras la implantación

www.ascendiarc.com

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD INFORMÁTICA

Establece medidas encaminadas a proteger hardware, software y comunicaciones de los

equipos informáticos. NO GESTIONA.

Controla los aspectos:

> físicos (instalaciones)

> telecomunicaciones (protocolos seguros, encriptación, cortafuegos)

> de acceso al sistema

> copias de respaldo y recuperación

> etc.

No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN

www.ascendiarc.com



Establece medidas encaminadas a proteger la información, independientemente del soporte

en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones

de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera

causar y maximizar el rendimiento del capital invertido.

Se caracteriza por preservar las tres propiedades de la información:

> CONFIDENCIALIDAD

> INTEGRIDAD

> DISPONIBILIDAD

No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN

www.ascendiarc.com

DOMINIOS DE LA INFORMACIÓN

CONFIDENCIALIDAD:Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso.

DISPONIBILIDAD:Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

INTEGRIDAD:Garantizar la exactitud y completitud de la información y los métodos de su proceso.

www.ascendiarc.com

OBJETO DE LAS ISO 27001 Y 27002

Tienen por objeto “proporcionar una base común para la elaboración de las normas de

seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer

informes de confianza en las transacciones y las relaciones entre empresas”.

El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura.

La seguridad completa no existe a menos de una inactividad total.

www.ascendiarc.com

ISO 27001: ESTRUCTURA

1. OBJETO Y CAMPO DE APLICACIÓN

ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación,

implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI.

El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y

proporcionados, que protejan los activos de información.

2. REFERENCIAS NORMATIVAS

Es indispensable la utilización de la norma ISO / IEC 27002:2007

3. TÉRMINOS Y DEFINICIONES

www.ascendiarc.com


4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario.

El proceso utilizado se basa en el ciclo PDCA.

REQUISITOS GENERALES.- obligación de creación de un sistema de gestión

documentado con los procedimientos clave de la organización y los riesgos a que se

enfrentan.

ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la

organización para establecer, implementar, operar, monitorizar, revisar, mantener y

mejorar el SGSI.

REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es

derivada de decisiones de la Dirección; los resultados registrados deben ser

reproducibles.

www.ascendiarc.com


5. RESPONSABILIDAD DE LA DIRECCIÓN

Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total.

6. AUDITORÍAS INTERNAS

La organización realizará auditorías a intervalos planificados.

7. REVISIÓN DEL SGSI POR LA DIRECCIÓN

Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo.

8. MEJORA DEL SGSI

La organización mejora continuamente la efectividad.

ANEXO A

Objetivos de control y controles => ISO 27002:2007

www.ascendiarc.com

ISO 27002

Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a

la SEGURIDAD DE LA INFORMACIÓN.

Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad

ligada al personal que participa en la gestión de la información.

Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión

de la seguridad de la información.

No es un sistema que permite una certificación de la seguridad.

Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación.

www.ascendiarc.com


Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES

Se estructura en:

> 11 dominios.

> 39 objetivos de control -> resultados que se espera alcanzar mediante la

implementación de los controles.

> 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de

riesgo.

www.ascendiarc.com


A.5 POLÍTICA DE SEGURIDAD

Dirigir y dar soporte a la gestión de la seguridad de la información

> La Dirección debe definir una política que refleje las líneas directrices de la

organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a

todo el personal implicado en la seguridad de la organización.

> La política se constituye en la base de todo el sistema de gestión de la seguridad de

la información.

> La Dirección debe apoyar visiblemente la seguridad de la información en la

compañía.

www.ascendiarc.com


A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos

de información de la organización que son accedidos por terceros

> Debe diseñarse una estructura organizativa dentro de la compañía que defina las

responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo

relacionada con los sistemas de información de cualquier forma.

> Identificar los riesgos que están relacionados con terceros.

> Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de

seguridad no son exclusivamente técnicos.

www.ascendiarc.com


A.7 GESTIÓN DE ACTIVOS

Mantener una protección adecuada sobre los activos de la organización.

Asegurar un nivel de protección adecuado a los activos de información.

> Debe definirse una clasificación de los activos relacionados con los sistemas de

información, manteniendo un inventario actualizado que registre estos datos, y

proporcionando a cada activo el nivel de protección adecuado a su criticidad en la

organización.

www.ascendiarc.com


A.8 SEGURIDAD LIGADA AL PERSONAL

Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y

los servicios.

Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la

seguridad de la información, y que están preparados para sostener la política de

seguridad de la organización en el curso normal de su trabajo.

> Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la

terminación o cambio de empleo.

> Las implicaciones del factor humano en la seguridad de la información son muy elevadas.

> Todo el personal, tanto interno como externo a la organización, debe conocer tanto las

líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo

en el mantenimiento de la seguridad global.

> Diferentes relaciones con los sistemas de información: operador, guardia de seguridad,

personal de servicios, etc.

> Procesos de notificación de incidencias claros, ágiles y conocidos por todos.

www.ascendiarc.com


A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

Evitar accesos no autorizados, daños e interferencias contra los locales y la información

de la organización.

Evitar pérdidas, daños o comprometer los activos así como la interrupción de las

actividades de la organización.

Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento

de información.

> Las áreas de trabajo de la organización y sus activos deben ser clasificadas y

protegidas en función de su criticidad, siempre de una forma adecuada y frente a

cualquier riesgo factible de índole física (robo, inundación, incendio, etc.).

www.ascendiarc.com


A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES

Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información.

Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros.

Proteger la integridad del software y de la información.

Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información.

Asegurar la protección de la información en las redes y protección de la infraestructura de soporte.

Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización.

Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero.

Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos.

Detectar las actividades de procesamiento de la información no autorizadas.

www.ascendiarc.com


A.11 CONTROL DE ACCESO

Controlar los accesos a la información.

Evitar accesos no autorizados a los sistemas de información.

Evitar el acceso de usuarios no autorizados.

Evitar acceso no autorizados a información contenida en las aplicaciones.

Garantizar la seguridad de la información cuando se usan dispositivos de informática

móvil y teletrabajo.

> Se deben establecer los controles de acceso adecuados para proteger los sistemas de

información críticos para el negocio, a diferentes niveles: sistema operativo,

aplicaciones, redes, etc.

www.ascendiarc.com


A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Garantizar que la seguridad está integrada en los sistemas de información.

Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones.

Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos.

Garantizar la seguridad en los archivos del sistema.

Mantener la seguridad del software y de la información de las aplicaciones.

Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.

> Debe contemplarse la seguridad de la información en todas las etapas del ciclo de

vida del software en una organización: especificación de requisitos, desarrollo,

explotación, mantenimiento, etc.

www.ascendiarc.com


A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Asegurar que los eventos y debilidades de la seguridad de la información asociadas con

los sistemas de información sean comunicados de tal manera que se tomen las acciones

correctivas oportunamente.

Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad.

> Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea

posible.

> Deben establecerse responsabilidades y procedimientos de gestión para asegurar una

respuesta rápida, efectiva y ordenada a los incidentes.

> Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de

prueba establecidas con la legislación pertinente en acciones de seguimiento contra

una persona u organización.

www.ascendiarc.com


A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos

críticos de fallos o desastres mayores y asegurar su oportuna reanudación.

> Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en

toda la organización.

> Deben identificarse los eventos que pueden causar interrupciones a los procesos de

negocio, junto con la probabilidad e impacto de tales interrupciones.

> Sólo debe existir un marco de plan de continuidad de negocios para asegurar que

todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos

y prevén criticar prioridades.

> Los planes deberán probarse y actualizarse regularmente.

www.ascendiarc.com


A.15 CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.

Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas

> Se debe identificar convenientemente la legislación aplicable a los sistemas de

información corporativos, integrándola en el sistema de gestión de seguridad de la

información de la entidad y garantizando su cumplimiento.

>Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para

garantizar la detección de desviaciones con respecto a la política de seguridad de la

información.

www.ascendiarc.com

IMPLANTACIÓN DE UN SGSI

BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI

> Competitividad

> Confianza de terceros

> Cumplimiento legal

> Mejora de la Imagen

> Reducción de riesgos

> Demostración del uso de prácticas apropiadas :

· empresas y organizaciones

· cliente final

· auditores

· tribunales

www.ascendiarc.com

gracias por su atenciónwww.ascendiarc.com

Iso 27001

Education

Transcript of Iso 27001