ISO-27001

51
ISO 27001

description

ISO-27001

Transcript of ISO-27001

Page 1: ISO-27001

ISO 27001

Page 2: ISO-27001

RIESGOSExterior

Interior

Ponen en peligro la integridad de la información por ende la viabilidad del negocio.

Page 3: ISO-27001

Sistema de gestión de seguridad de información es una herramienta de gestión que nos permite: conocer, gestionar y minimizar los riesgos y amenazas que ponen en peligro la competitividad, rentabilidad y conformidad legal. Necesarios para obtener los objetivos del negocio

Page 4: ISO-27001

Diferencias entre seguridad informática y seguridad de la información

Page 5: ISO-27001

Seguridad informática: Protección de las infraestructuras de las tecnologías de la información y comunicación que soporta el negocio.

Seguridad de la información:Protección de los activos de la información fundamentales para le éxito de cualquier organización.

Page 6: ISO-27001

Activos de la información • Correos

electrónicos• Faxes• Paginas web• Imágenes• Bases de datos• Documentos • Contratos • Presentaciones

Están en diferentes fuentes y provienen de medios como papel o medios digitales. Se debe de tener en cuenta el tiempo de vida de la información.

Page 7: ISO-27001

SGSIMétodo que permite: • ANALISISAnalizar y ordenar la estructura de los sistemas de la información.• DEFINICIONDefinición de los procedimientos de trabajo para mantener su seguridad.• CONTROLESControles que permitan medir la eficiencia de las medidas tomadas.

Page 8: ISO-27001

Parámetros de la seguridad de la información

Confidencialidad, implica el acceso de la información mediante autorización.Integridad, mantenimiento de exactitud y completitud de la información.Disponibilidad, acceso de información a usuarios autorizados en el momento que lo requieran.

Page 9: ISO-27001

Con el fin de tener un sistema estándar de gestión de seguridad de la información, se crean una familia de normas ISO 27000

Nos permiten disminuir el impacto de riesgos sin necesidad de grandes inversiones en software y sin contar con una gran estructura de personal.

Page 10: ISO-27001

INFORMACIONEs una gran activo del que depende el buen funcionamiento de una organización.En la actualidad el desarrollo de la tecnología conlleva el incremento de riesgos con respecto a la seguridad de la información. Estos riesgos y amenazas puede provenir desde el interior o exterior de la empresa.

Page 11: ISO-27001

Riesgos físicos

Afectan disponibilidad de recursos.

Riesgos lógicos (tecnológicos) Afectan la

confianza ante los clientes y nuestra imagen en el mercado.

Page 12: ISO-27001

ISO 27001, herramienta o metodología sencilla que nos permite establecer:Políticas, procedimientos y controles para disminuir riesgos.

Page 13: ISO-27001

La implantación y posterior certificación de estos sistemas supone la implicación de toda la empresa, empezando por la dirección sin cuyo compromiso no seria posible la puesta en marcha.La dirección debe liderar todo el proceso, ya que conoce los riesgos del negocio y las obligaciones con los clientes.

Page 14: ISO-27001

BeneficiosLa seguridad se considera un sistema y se convierte en una actividad de gestión.

Page 15: ISO-27001

ESTÁNDAR DE GESTIÓN DE SEGURIDAD

ISO/IEC 27001

Recoge componentes del sistema, documentos mínimos, registros que permitan evidenciar el buen funcionamiento del sistema, especifica requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada organización.

Page 16: ISO-27001

El diseño del SGSI dependerá de

Para hacer mas sencilla la implantación necesitamos asesoría de una empresa especializada

El tiempo de implantación depende del tamaño de la empresa, estado inicial del SGSI y recursos destinados

Page 17: ISO-27001

Para la implantación utilizaremos el modelo PDCA, un modelo dividido en 4 fases:

La continua evolución de nuestro SGSI debe estar documentada, para esto se utilizaran los 4 tipos de documentación.

Page 18: ISO-27001

FASE DE PLANIFICACIONEstudio de las situaciones de la organización desde el punto de vista de la seguridad para estimar medidas a implantar en función de las necesidades. La información esta sometida a riesgos.

Page 19: ISO-27001

FASE DE EJECUCION• Implantación de controles seleccionados en la fase anterior,

controles mas técnicos y documentos necesarios.• Requiere tiempo de concienciación y formación para dar a

conocer que se esta haciendo y por que, al personal de la empresa.

Page 20: ISO-27001

FASE DE SEGUIMIENTOEvaluar eficiencia y éxito de controles implementados, por ellos es importante contar con registros o indicadores que provengan de estos controles.

Page 21: ISO-27001

FASE DE MEJORA Labor de mantenimiento del sistema• Medidas correctoras• Medidas preventivas• Medidas de mejora

Se toman resultados de la ultima y se vuelve a empezar con el proceso.

Page 22: ISO-27001

DISEÑO DE SGSI

Page 23: ISO-27001

ALCANCEDeterminar partes y procesos decidiendo que es lo que se quiere proteger y de donde se debe empezar.Se determinara:

Page 24: ISO-27001

Se estimara recursos y personal a cargo de implantar y mantener SGSI.

Page 25: ISO-27001

POLITICARecoge directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la empresa. Pautas de actuación en caso de incidentes y definir las responsabilidades.El documente delimita que se debe proteger, de quien y por que, explica lo permitido y lo que no.

• Corta y precisa• Dominio publico• Resolución de conflictos• Responsabilidades asociadas con

autoridad.• Protección de personas e información.• Personalizada • Normas y reglas adoptadas

Page 26: ISO-27001

La política se debe revisar y actualizar cada año.

Page 27: ISO-27001

ORGANIZACIÓNSe realiza la revisión de los aspectos organizativos de la entidad y asignación de nuevas responsabilidades, hay 3 de gran importancia:

Page 28: ISO-27001

Con el fin de crear una cultura de seguridad. Se consigue que el personal conozca que actuaciones se están llevando acabo y por que se están realizando.Con ello se concede transparencia la proceso, involucrar al personal y como producto da conocimiento al personal sobre las actividades.

Page 29: ISO-27001
Page 30: ISO-27001
Page 31: ISO-27001

ISO 27001

El ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN

Page 32: ISO-27001

Marco legal y Jurídico de la seguridad

Normativas de seguridad

Page 33: ISO-27001

-Creciente uso de las nuevas tecnologías--Nuevas formar de delito informático-

-Su cumplimiento nos protegerá de amenazas externas-

Page 34: ISO-27001

LEY ORGÁNICA 15/99 DE PROTECCIÓN DE DATOS (LOPD)

-Tiene por objetivo proteger todos los datos de carácter personal-

Page 35: ISO-27001

LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO

(LSSI)

-Regular el funcionamiento de prestadores de servicio--Comercio electrónico-

Page 36: ISO-27001

LEY 32/2003 GENERAL DE TELECOMUNICACIONES

-Fomenta la competencia efectiva--Comercio en telecomunicaciones y electrónica-

Page 37: ISO-27001

LEY 59/2003 DE FIRMA ELECTRONICA

-Identifica a una persona en transacciones electrónicas--Manipulación-

Page 38: ISO-27001

RDL 1/1996 LEY DE PROPIEDAD INTELECTUAL

-El autor tiene el derecho exclusivo a la utilización de su creación-

Page 39: ISO-27001

LEY 17/2001 DE PROPIEDAD INDUSTRIAL

-Uso exclusivo de nombre comerciales-

Page 40: ISO-27001

Análisis y valoración de riesgos

CONCEPTOS BÁSICOS

Page 41: ISO-27001

CONCEPTOS BÁSICOS

-Indica lo que le podría pasar a los activos--Eventos que pueden ocasionar incidentes-

-Son las debilidades que presentan los activos-

Page 42: ISO-27001

CONCEPTOS BÁSICOS

-Consecuencia de la amenaza--Mecanismos que reducen el riesgo-

-Imposible eliminar al 100%-

Page 43: ISO-27001
Page 44: ISO-27001

GESTIÓN Y TRATAMIENTO DEL RIESGO

-Eliminando los activos--Contratar un seguro-

-Controle el riesgo--Medidas de seguridad-

Page 45: ISO-27001

• SOA: Declaración de aplicabilidad.

• El SOA recoge qué controles aplican en la organización y cuales no.

• SI: deben incluir los objetivos del control, la descripción y la razón de su selección

• NO: Se debe indicar la razón de su exclusión de manera detallada

Page 46: ISO-27001

SEGUIMIENTO Y REGISTRO DE LAS OPERACIONES DEL SISTEMA

-Recoge el estado del sistema--Refleja el estado del sistema-

-Resumen del estado del sistema--Grado de cumplimiento-

Page 47: ISO-27001

GESTIÓN DE CONTINUIDAD

Page 48: ISO-27001

PROCESO DE CERTIFICACIÓN

Page 49: ISO-27001

PROCESO DE CERTIFICACIÓN

Page 50: ISO-27001

PROCESO DE CERTIFICACIÓN

SOLICITUD DE CERTIFICACIÓN: En este documento se especifica una serie de datos de la organización y la implantación del SGSI.AUDITORIA DOCUMENTAL: Se revisa la documentación generada durante la implantación del sistema.AUDITORIA IN-SITU: Verificar la documentación revisada y los registros del sistema. Durante esta fase los auditores confirman que la organización cumple con sus políticas y procedimientos.

Page 51: ISO-27001