ISO 27001

RIESGOSExterior

Interior

Ponen en peligro la integridad de la información por ende la viabilidad del negocio.

Sistema de gestión de seguridad de información es una herramienta de gestión que nos permite: conocer, gestionar y minimizar los riesgos y amenazas que ponen en peligro la competitividad, rentabilidad y conformidad legal. Necesarios para obtener los objetivos del negocio

Diferencias entre seguridad informática y seguridad de la información

Seguridad informática: Protección de las infraestructuras de las tecnologías de la información y comunicación que soporta el negocio.

Seguridad de la información:Protección de los activos de la información fundamentales para le éxito de cualquier organización.

Activos de la información • Correos

electrónicos• Faxes• Paginas web• Imágenes• Bases de datos• Documentos • Contratos • Presentaciones

Están en diferentes fuentes y provienen de medios como papel o medios digitales. Se debe de tener en cuenta el tiempo de vida de la información.

SGSIMétodo que permite: • ANALISISAnalizar y ordenar la estructura de los sistemas de la información.• DEFINICIONDefinición de los procedimientos de trabajo para mantener su seguridad.• CONTROLESControles que permitan medir la eficiencia de las medidas tomadas.

Parámetros de la seguridad de la información

Confidencialidad, implica el acceso de la información mediante autorización.Integridad, mantenimiento de exactitud y completitud de la información.Disponibilidad, acceso de información a usuarios autorizados en el momento que lo requieran.

Con el fin de tener un sistema estándar de gestión de seguridad de la información, se crean una familia de normas ISO 27000

Nos permiten disminuir el impacto de riesgos sin necesidad de grandes inversiones en software y sin contar con una gran estructura de personal.

INFORMACIONEs una gran activo del que depende el buen funcionamiento de una organización.En la actualidad el desarrollo de la tecnología conlleva el incremento de riesgos con respecto a la seguridad de la información. Estos riesgos y amenazas puede provenir desde el interior o exterior de la empresa.

Riesgos físicos

Afectan disponibilidad de recursos.

Riesgos lógicos (tecnológicos) Afectan la

confianza ante los clientes y nuestra imagen en el mercado.

ISO 27001, herramienta o metodología sencilla que nos permite establecer:Políticas, procedimientos y controles para disminuir riesgos.

La implantación y posterior certificación de estos sistemas supone la implicación de toda la empresa, empezando por la dirección sin cuyo compromiso no seria posible la puesta en marcha.La dirección debe liderar todo el proceso, ya que conoce los riesgos del negocio y las obligaciones con los clientes.

BeneficiosLa seguridad se considera un sistema y se convierte en una actividad de gestión.

ESTÁNDAR DE GESTIÓN DE SEGURIDAD

ISO/IEC 27001

Recoge componentes del sistema, documentos mínimos, registros que permitan evidenciar el buen funcionamiento del sistema, especifica requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada organización.

El diseño del SGSI dependerá de

Para hacer mas sencilla la implantación necesitamos asesoría de una empresa especializada

El tiempo de implantación depende del tamaño de la empresa, estado inicial del SGSI y recursos destinados

Para la implantación utilizaremos el modelo PDCA, un modelo dividido en 4 fases:

La continua evolución de nuestro SGSI debe estar documentada, para esto se utilizaran los 4 tipos de documentación.

FASE DE PLANIFICACIONEstudio de las situaciones de la organización desde el punto de vista de la seguridad para estimar medidas a implantar en función de las necesidades. La información esta sometida a riesgos.

FASE DE EJECUCION• Implantación de controles seleccionados en la fase anterior,

controles mas técnicos y documentos necesarios.• Requiere tiempo de concienciación y formación para dar a

conocer que se esta haciendo y por que, al personal de la empresa.

FASE DE SEGUIMIENTOEvaluar eficiencia y éxito de controles implementados, por ellos es importante contar con registros o indicadores que provengan de estos controles.

FASE DE MEJORA Labor de mantenimiento del sistema• Medidas correctoras• Medidas preventivas• Medidas de mejora

Se toman resultados de la ultima y se vuelve a empezar con el proceso.

DISEÑO DE SGSI

ALCANCEDeterminar partes y procesos decidiendo que es lo que se quiere proteger y de donde se debe empezar.Se determinara:

Se estimara recursos y personal a cargo de implantar y mantener SGSI.

POLITICARecoge directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la empresa. Pautas de actuación en caso de incidentes y definir las responsabilidades.El documente delimita que se debe proteger, de quien y por que, explica lo permitido y lo que no.

• Corta y precisa• Dominio publico• Resolución de conflictos• Responsabilidades asociadas con

autoridad.• Protección de personas e información.• Personalizada • Normas y reglas adoptadas

La política se debe revisar y actualizar cada año.

ORGANIZACIÓNSe realiza la revisión de los aspectos organizativos de la entidad y asignación de nuevas responsabilidades, hay 3 de gran importancia:

Con el fin de crear una cultura de seguridad. Se consigue que el personal conozca que actuaciones se están llevando acabo y por que se están realizando.Con ello se concede transparencia la proceso, involucrar al personal y como producto da conocimiento al personal sobre las actividades.

ISO 27001

El ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN

Marco legal y Jurídico de la seguridad

Normativas de seguridad

-Creciente uso de las nuevas tecnologías--Nuevas formar de delito informático-

-Su cumplimiento nos protegerá de amenazas externas-

LEY ORGÁNICA 15/99 DE PROTECCIÓN DE DATOS (LOPD)

-Tiene por objetivo proteger todos los datos de carácter personal-

LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO

(LSSI)

-Regular el funcionamiento de prestadores de servicio--Comercio electrónico-

LEY 32/2003 GENERAL DE TELECOMUNICACIONES

-Fomenta la competencia efectiva--Comercio en telecomunicaciones y electrónica-

LEY 59/2003 DE FIRMA ELECTRONICA

-Identifica a una persona en transacciones electrónicas--Manipulación-

RDL 1/1996 LEY DE PROPIEDAD INTELECTUAL

-El autor tiene el derecho exclusivo a la utilización de su creación-

LEY 17/2001 DE PROPIEDAD INDUSTRIAL

-Uso exclusivo de nombre comerciales-

Análisis y valoración de riesgos

CONCEPTOS BÁSICOS

CONCEPTOS BÁSICOS

-Indica lo que le podría pasar a los activos--Eventos que pueden ocasionar incidentes-

-Son las debilidades que presentan los activos-

CONCEPTOS BÁSICOS

-Consecuencia de la amenaza--Mecanismos que reducen el riesgo-

-Imposible eliminar al 100%-

GESTIÓN Y TRATAMIENTO DEL RIESGO

-Eliminando los activos--Contratar un seguro-

-Controle el riesgo--Medidas de seguridad-

• SOA: Declaración de aplicabilidad.

• El SOA recoge qué controles aplican en la organización y cuales no.

• SI: deben incluir los objetivos del control, la descripción y la razón de su selección

• NO: Se debe indicar la razón de su exclusión de manera detallada

SEGUIMIENTO Y REGISTRO DE LAS OPERACIONES DEL SISTEMA

-Recoge el estado del sistema--Refleja el estado del sistema-

-Resumen del estado del sistema--Grado de cumplimiento-

GESTIÓN DE CONTINUIDAD

PROCESO DE CERTIFICACIÓN

PROCESO DE CERTIFICACIÓN

PROCESO DE CERTIFICACIÓN

SOLICITUD DE CERTIFICACIÓN: En este documento se especifica una serie de datos de la organización y la implantación del SGSI.AUDITORIA DOCUMENTAL: Se revisa la documentación generada durante la implantación del sistema.AUDITORIA IN-SITU: Verificar la documentación revisada y los registros del sistema. Durante esta fase los auditores confirman que la organización cumple con sus políticas y procedimientos.