Iso 27001 iso 27002

24
Normas ISO 27001 y 27002

Transcript of Iso 27001 iso 27002

Page 1: Iso 27001 iso 27002

Normas ISO 27001 y 27002

Page 2: Iso 27001 iso 27002

Agenda ISO y sus estándares Objetivos de ISO 27000 Diferencias entre ISO 27001 e ISO 27002. Dominios de ISO 27001. Implementación de ISO 27001. Fases del Proceso de Certificación Conclusiones.

Page 3: Iso 27001 iso 27002

ISO y sus estándares

Organización Internacional para la Estandarización (International Organization for Standardization)

Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas a nivel internacional.

La ISO 27000, es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa.

La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible

Page 4: Iso 27001 iso 27002

Objetivos ISO 27000

Una empresa que tenga establecida la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente. Objetivos:

Preservar la confidencialidad de los datos de la empresa Conservar la integridad de estos datos Hacer que la información protegida se encuentre disponible

Page 5: Iso 27001 iso 27002
Page 6: Iso 27001 iso 27002

ISO 27000, 27001, 27002

ISO/IEC 27000 Define el vocabulario estándar, términos y conceptos empleados en la familia 27000.

ISO/IEC 27001 Define los requisitos a cumplir para implantar un SGSI certificable conforme a las

normas 27000. Define un SGSI, su gestiona y las responsabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act). Tiene como punto clave la gestión de riesgos unida con la mejora continua.

ISO/IEC 27002 Define las buenas prácticas para la gestión de la seguridad. Medidas a tomar para asegurar los sistemas de información de una organización Se identifica los objetivos de control y los controles recomendados a implantar. Antes ISO 17799, basado en estándar BS 7799.

Page 7: Iso 27001 iso 27002

Diferencias entre ISO 27001 e ISO 27002

La ISO 27002 es mucho más detallada y mucho más precisa Los controles de la norma ISO 27002 tienen la misma

denominación que los indicados en el Anexo A de la ISO 27001, la diferencia se presenta en el nivel de detalle.

La ISO 27002 explica un control en forma extensa, en contraste con la ISO 27001 que sólo define una oración a cada uno.

No es posible obtener la certificación ISO 27002 porque no es una norma de gestión, la certificación en ISO 27001 sí es posible.

La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema de gestión de seguridad de la información (SGSI).

Page 8: Iso 27001 iso 27002

Diferencias entre ISO 27001 e ISO 27002 (Cont.)

Se establece en la ISO 27001 que el sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada, que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Esto no está establecido en la ISO 27002.

La ISO 27002 no distingue entre los controles que son aplicables a una organización específica y los que no lo son, en contraste la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben aplicar.

Se usa la ISO 27001 para crear la estructura de la seguridad de la información en la organización, se usa la ISO 27002 para implementar controles.

Page 9: Iso 27001 iso 27002

Diferencias entre ISO 27001 e ISO 27002 (Cont.)

Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar, sin el marco de gestión de la ISO 27001, la ISO 27002 es un esfuerzo aislado por la seguridad de la información, sin la aceptación de la alta dirección y sin efectos reales sobre la organización.

Page 10: Iso 27001 iso 27002

Otros ISO/IECs de la misma familia

ISO/IEC 27000 overview & vocabulary

ISO/IEC 27001 formal ISMS specification

ISO/IEC 27002 infosec controls guideline

ISO/IEC 27003 implementation guidance

ISO/IEC 27004 infosec metrics

ISO/IEC 27005 infosec risk management

ISO/IEC 27006 ISMS

certification guide ISO/IEC 27007 MS

auditing guide ISO/IEC TR 27008

 technical auditing ISO/IEC 27010 for inter-

org comms ISO/IEC 27011 ISO27k for

telecomms ISO/IEC 27013 for

ISMS+service mgmt ISO/IEC TR 27015 for

financial services ISO/IEC 27031 business

continuity ISO/IEC 27032

 cybersecurity ISO/IEC 27033 network

security (parts) ISO/IEC 27034

 application security (part)

ISO/IEC 27035 incident management

ISO/IEC 27037 digital evidence

ISO 27799 ISO27k for healthcare industry

Page 11: Iso 27001 iso 27002

ISO/IEC 27001 El objetivo principal se adopta al modelo Plan-Do-Check- Act

(PDCA o ciclo de Deming) para todos los procesos de la organización.

Imagen 1. Ciclo Deming.

Page 12: Iso 27001 iso 27002

Fases ciclo Deming

Fase Planificación (Plan): Establecer la política, objetivos, procesos y procedimientos relativos a la gestión

del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.

Fase Ejecución (Do): Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y

procedimientos. Fase Seguimiento (Check):

Medir y revisar las prestaciones de los procesos del SGSI.

Fase Mejora (Act): Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones

internas o en otra información relevante a fin de alcanzar la mejora continua del SGSI.

Page 13: Iso 27001 iso 27002

Dominios ISO 27001

Page 14: Iso 27001 iso 27002

Seguridad de la Información

Se definen la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales: Confidencialidad. La información sólo debe ser vista por aquellos que

tienen permiso para ello. Integridad. La información podrá ser modificada solo por aquellos

con derecho a cambiarla. Disponibilidad. La información deberá estar disponible en el

momento en que los usuarios autorizados requieren acceder a ella.

Page 15: Iso 27001 iso 27002

Sistema de Gestión de la Seguridad de Información

Es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, procesos y los recursos necesarios para implementar la gestión de la seguridad de la información. Es la herramienta de la que dispone la Dirección de las organizaciones para llevar a cabo las políticas y objetivos de seguridad.

Sistema de Gestión de Seguridad de la Información, es el punto central de la norma 2700.

Page 16: Iso 27001 iso 27002

Sistema de Gestión de la Seguridad de Información (Cont.)

Page 17: Iso 27001 iso 27002

ISO/IEC 27002

Política de seguridad. Aspectos organizativos para la

seguridad. Clasificación y control de

activos. Seguridad ligada al personal. Seguridad física y del entorno. Gestión de comunicaciones y

operaciones. Control de accesos.

Desarrollo y mantenimiento de sistemas.

Gestión de incidentes de seguridad de la información.

Gestión de continuidad de negocio.

Conformidad.

“Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.”

Secciones:

Page 18: Iso 27001 iso 27002

Dominios ISO 27002

Page 19: Iso 27001 iso 27002
Page 20: Iso 27001 iso 27002

Implementación Herramientas y buenas prácticas:

https://iso27002.wiki.zoho.com/

Page 21: Iso 27001 iso 27002

Dominios relacionados con la Administración de Proyectos InformáticosDominios ISO 27001 Relación

Políticas de Seguridad Compromiso e Involucramiento de las partes.

Organización de la Seguridad Roles y ResponsabilidadesAdministración de Activos La necesidad de hacer las cosas a

la medida justaAdministración de las Comunicaciones y Operaciones El Gobierno de TIControl de Acceso Procesos y Controles clavesAdquisición, desarrollo y mantenimiento de Sistemas de Información. Procesos y Controles claves

Plan de Continuidad del Negocio Su desarrollo, Roles y Responsabilidades

Cumplimiento de Leyes y Regulaciones Impacto Real, Roles y Responsabilidades

Page 22: Iso 27001 iso 27002

FASES DEL PROCESO DE CERTIFICACIÓN

Page 23: Iso 27001 iso 27002

Conclusiones Una vez que el Sistema de Gestión de la Seguridad de la

Información ha sido implementado en una organización, se puede optar por su certificación, siguiendo el estándar ISO 27001, ante un Organismo Internacional de Acreditación.

El propósito de una certificación le demuestra al mercado que la organización tiene un adecuado Sistema de Gestión que da Seguridad de la Información.

La existencia del certificado no implica que la empresa este libre de riesgos, sino que la empresa ha implantado un adecuado sistema de gestión de dichos riesgos y un proceso de mejora continua.

Page 24: Iso 27001 iso 27002

Bibliografía

Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002? Recuperado el 15/4/2013, de http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001-y-la-iso-27002

Enjuto, J. (2007). Diferencias entre ISO 27001 e ISO 27002. Recuperado el 15/4/2013, de http://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.html

Estándares y Normas de Seguridad. Recuperado el 11/4/2013, de http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

ISO 27002. Recuperado el 11/4/2013, de http://www.iso27000.es/download/ControlesISO27002-2005.pdf

Rodríguez, J. Gestión de la Seguridad. Recuperado el 11/4/2013, de http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSeguridad.pdf