Nuestra Estrategia, SGI - Sistema de Gestión de la Calidad ... en la informacion y...
Transcript of Nuestra Estrategia, SGI - Sistema de Gestión de la Calidad ... en la informacion y...
ISO 14001:2004
OHSAS 18001:2007
INTEGRAR:Fusionar N partes, obteniendo un todo, que incluyepartes comunes y partes específicas de cada norma.
SGI
SGI - Sistema de Gestión de la Calidad
Nuestra Estrategia, EL DESARROLLO COMPETITIVO.
www.intedya.com
ISO 27001:2013Gestión de la Seguridad de la Información
(Rev.00 Julio 2016)
Intedya es una entidad internacional presente en más de 16 países de 3 continentes competente en
la consultoría, auditoría y formación en el ámbito de la gestión de la Calidad, el Medio Ambiente, la
Seguridad e Inocuidad Alimentaria, Laboral y de la Información, en organizaciones públicas y privadas
de cualquier tipo de actividad y dimensión.
Nuestra estrategia del “Desarrollo Competitivo” se basa en nuestra experiencia y capacidad para
ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus
clientes, proveedores, accionistas y la sociedad de la que forman parte.
DIMENSIÓN Y PRESENCIA
Con presencia directa en 16 países de 3 continentes, disponemos de la capacidad para dar servicio en cualquier
país de la Unión Europea, América y África, formando una de las mayores redes internacionales en nuestra
especialidad.
DESARROLLO COMPETITIVO
ESTADOS UNIDOS
MÉXICO
REPÚBLICA DOMINICANA
GUATEMALA
COLOMBIA
PERÚ
ECUADOR
BOLIVIA
BRASIL
PARAGUAY
ARGENTINA
URUGUAY
CHILE
ESPAÑA
ANDORRA
PORTUGAL
ANGOLA
Áreas de conocimiento
Calidad y Excelencia
ISO 9001 - Sistemas de Gestión de la Calidad
ISO 9001. Sistemas de Gestión de la Calidad
Transición ISO 9001:2015
ISO/TS 16949. Sistemas de Gestión de la Calidad en el Sector de la
Automoción
EN 9100. Sistemas de Gestión de la Calidad en el Sector Aeroespacial
ISO 13485. Sistemas de Gestión de la Calidad para Productos
Sanitarios
ISO 18091. Directrices para la aplicación de la Norma ISO 9001:2008
en el Gobierno Local
RtQ . Road to Quality
EFQM. Modelo de Excelencia y Calidad
ISO 9004. Sistemas de Gestión Avanzada
Metodología 5´s Lean Manufacturing
ISO 15189. Sistemas de Gestión de la Calidad en Laboratorios Clínicos
ISO/IEC 17025. Laboratorios de ensayo y de calibración
ISO 22716. Guía de Buenas Prácticas de Fabricación de Cosméticos
ISO/IEC 20000-1. Gestión del Servicio
UNE 166002. Sistemas de Gestión de la I+D+i
Normas de Calidad Sectoriales
Sostenibilidad
ISO 14001. Sistemas de Gestión Ambiental
Transición ISO 14001:2015
ISO 50001. Sistemas de Gestión Energética
Verificación EMAS
ISO 14006. Gestión del Ecodiseño
ISO 14067. Huella de Carbono de Productos
ISO 14064. Huella de Carbono de Organizaciones
ISO 14046. Huella de Agua
PEFC y FSC. Cadena de Custodia de Productos Forestales
RSPO. Cadena de Custodia del Aceite de Palma
LEED. Estándar de Edificación Sostenible
Industria Limpia, Calidad Ambiental y Calidad Ambiental Turística
ISO 26000. Guía sobre Responsabilidad Social
SGE21. Gestión Ética y Responsabilidad Empresarial
SA 8000. Responsabilidad Social Internacional
Sistemas de Gestión de Igualdad de Género
Distintivo ESR
Salud y Seguridad
OHSAS 18001 - Sistema de Gestión de Seguridad y Salud en el
Trabajo
ISO 22320 - Gestión de Emergencias
ISO 39001 - Seguridad Vial
Asesoramiento en Cumplimiento de Leyes Nacionales en materia de
Riesgos Laborales y Salud Ocupacional
Servicios de Coordinación de Seguridad y Salud
Asistencia Técnica Integral en PRL
Coordinación de Actividades Empresariales
Estudios de Seguridad y Salud
Elaboración e Implantación de Planes de Seguridad y Salud
Elaboración e Implantación de Planes Específicos de Seguridad
Elaboración de Planes de Trabajo para Empresas con Riesgo de
Exposición al Amianto
Elaboración y Mantenimiento del Documento de Protección contra
Explosiones (ATEX)
Informes Técnicos Especializados
Planes de Autoprotección
Estudios Específicos. Mediciones de contaminación física, química y
biológica
Informes Periciales para Juicios, relacionados con la Prevención de
Riesgos Laborales
Directivas Europeas
Directiva Baja Tensión 2014/35/UE. Material Eléctrico
Directiva 2014/30/UE. Compatibilidad Electromagnética (CEM)
Directiva 2014/68/UE. Equipos a Presión
Directiva 2010/35/UE. Equipos a Presión transportables
Directiva 2009/142/CE. Aparatos de Gas
Directiva 2000/1/CE. Instalaciones de transporte de personas por cable
Directiva 89/686/CEE. Equipos de Protección Individual
Directiva 2006/42/CE. Máquinas
Directiva 2014/33/UE. Ascensores
Directiva 2009/48/CE. Juguetes
Directiva 93/42/CEE. Productos Sanitarios
Seguridad Alimentaria
ISO 22000 - Sistemas de Gestión de la Inocuidad Alimentaria
Protocolos BRC y BRC-IOP
Protocolo IFS
Protocolo Global GAP
Esquema FSSC 22000 - Sistemas de Gestión de la Inocuidad
Alimentaria
HACCP Análisis de Peligros y Puntos Críticos de Control
Producción Controlada de Frutas y Hortalizas
EN 15593 - Gestión de Higiene en la Producción de Envases
Buenas Prácticas de Manufactura (BPM)
Buenas Prácticas de Almacenamiento (BPA)
Distintivo H (México)
Industria Limpia (México)
NOM 251 (México)
México GAP (México)
Riesgos y Seguridad
ISO 31000. Gestión del Riesgo
ISO/IEC 27001. Sistemas de Gestión de la Seguridad de la Información
ISO 22301. Sistemas de Continuidad del Negocio
ISO 14298. Gestión de Procesos de Impresión de Seguridad
ISO 28000. Especificación para Sistemas de Gestión de la Cadena de
Suministro
ISO 28001. Sistemas de Gestión de la Cadena de Suministro
Estándares Nacionales de la Cadena de Suministro
BASC. Comercio Seguro
ISO 19600. Sistemas de Gestión de Compliance
ISO 37001. Sistemas de Gestión Antisoborno
Leyes Nacionales en Materia de Protección de Datos Plan de Prevención de Delitos Penales
*Normas y referenciales más relevantes consulte a su asesor o en www.intedya.com el catálogo completo de soluciones
Las Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ellas.
La importancia y la necesidad de proteger la información
ISO 27001:2013
La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino también
de los entornos industriales cada vez más
interconectados.
La Información el mayor activo para cualquier organización
La importancia y la necesidad de proteger la información
En un mundo en el que se mueven millones de datos, la continua aparición de vulnerabilidades en los sistemas, las noticias de accesos no deseados, ….hacen de la seguridadun área de especial interés para el correcto desarrollo de los negocios en esta era digital.
Sony. Robo de datos de más de 77 millonesde usuarios de PlayStation.
Amazon. Bloqueo en sus servicios quesupuso una destrucción involuntaria de losdatos de sus clientes.
Stuxnet. Software de espionaje industrial.
La seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.
La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
ISO 27001:2013
¿A qué nos enfrentamos?
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
Captura de PC desde el exterior
Violación de contraseñasIntercepción y modificación y violación de e-mails
Virus Incumplimiento de leyes y regulaciones
empleados deshonestosSpamming
Ingeniería social Robo de información
Interrupción de los servicios
ISO 27001:2013
Las nuevas tecnologías nos permiten estar conectados en todo momento, pero también abren la puerta a nuevas amenazas a nuestra privacidad, a la gestión de nuestros datos, información,….
ISO 27001:2013
¿Cómo afrontar esta situación?
Sólo hay una forma de gestionar de forma adecuada la seguridad:
Identificar, analizar, evaluar, y gestionar los riesgos de
seguridad de la información a los que se enfrenta mi
organización, y tomar las medidas técnicas, organizativas y
legales necesarias.
En INTEDYA tenemos la solución para,
Gestionar de forma adecuada sus riesgos. Gestionar las incidencias de seguridad que pudieran darse. Asegurar la continuidad de su negocio. Asesorarle sobre la implementación de las medidas necesarias.
La seguridad no es un proyecto, es una actividad continua y la protección de la información requiere el soporte de la organización para tener éxito.
ISO 27001:2013
¿Cómo gestionar todo ello?
El propósito de la norma ISO/IEC 27001 es, garantizar que los riesgos de la seguridad de lainformación sean gestionado adecuadamente por la organización.
La norma ISO/IEC 27001 especifica las medidas y controles de seguridad, con el fin de protegertodo aquello que es importante para la organización, sus activos y la información que estos manejan.
¿A quién va dirigida?
Cualquier organización maneja y trabaja con información, y por lo tanto puede
implementar y certificar esta norma.
Siendo especialmente útil en organizaciones del sector de la Salud, Despachos de abogados, Call center, Edición y artes gráficas,
gobierno, banca y finanzas, salud, empresas de servicios de
tecnología de la información o comunicaciones, o cualquier
otro ámbito donde los activos de información requieran de una adecuada protección.
Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y
en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes,pérdida de reputación, etc.
ISO 27001:2013
ISO 27001
Reforzar el uso de enfoque basado en procesos
APRECIACIÓN DE RIESGOS. Gestión de los riesgos de seguridad de la información
Gestión y mantenimiento de la confidencialidad, integridad y disponibilidad de la información
ISO 27001:2013
MECANISMOS DE PROTECCIÓN .Controles organizativos, técnicos y legales de preservación de la información
Consideración de las partes interesadas y el contexto de la organización en la seguridad de la información
¿Qué es?
La serie de normas ISO 27001 constan de:
• ISO 27000: Fundamentos y vocabulario: presenta al usuariolos conceptos. No certificable.
• ISO 27001: Requisitos para un Sistema de Gestión de laInformación (SGSI). NORMA CERTIFICABLE.
• ISO 27002: Guía de Buenas prácticas. No certificable.
• ISO 27003: Guía de Implementación. No certificable.
• ISO 27004: Guía para Medición de la Idoneidad de laimplantación. No certificable.
• ISO 27005: Guía para el Análisis de Riesgos. No certificable
ISO 27001:2013
El ISO27000 es un conjunto de estándares desarrollados por OrganizaciónInternacional de Normalización (ISO), que proporcionan un marco de gestión de laseguridad de la información alineados con los objetivos de negocio, y optimizando lasinversiones realizadas en controles o salvaguardas que protejan los activos.
Familia
Antecedentes
BS 7799:1995 de BSI, surge con objeto de proporcionar a cualquier organización, británica o no, un conjunto de buenas prácticas para la gestión de la seguridad de su información.
BS 7799-2:1998 estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
Aparición BS77991995
Aparición
BS7799-2 1999 ISO
1779920001ª
Revisión BS7799
2002Aparició
n ISO 27001
2005
1ª Revisión
ISO 27001
2013
La serie de Normas ISO 27000 apareció en 2005, tomando como base la norma británica BS 7799-2 de 2002 y dando lugar al estándar ISO/IEC 27001:2005.
Actualmente la versión del estándar certificable es ISO 27001:2013.
ISO 27001:2013
El OBJETIVO PRINCIPAL DE LA NORMA ISO 27001 es ayudar a las organizaciones a proteger losactivos de la organización, garantizando su confidencialidad, integridad y disponibilidad, yreducir riesgos e incidencias.
Otro de los principales objetivos de la norma, es el ENFOQUE DEL SISTEMA DE GESTIÓN DEMANERA ALINEADA CON LA ESTRATEGIA DE NEGOCIO DE LA ORGANIZACIÓN.
Por otro lado, ISO 27001 BUSCA LA INTEGRACIÓN DE ESTA NORMA CON LOS DEMÁS SISTEMASDE GESTIÓN para que sean más accesibles a todo tipo de organizaciones. Esto lo consigue conuna ESTRUCTURA DE ALTO NIVEL, común a todas las normas de gestión.
Objetivo
ISO 27001:2013
Gracias a esta estructura de alto nivel, es de fácil integración con otros sistemas de gestión como ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 26000, ISO 20000-1, ISO 31000,…. lo
cual facilita y simplifica ENORMEMENTE su gestión e integración real en la organización y su APLICACIÓN
EFECTIVA.
Integración con otros Sistemas
ISO 27001:2013
¿Por qué es importante?
Certificado ISO 27001La importancia y la necesidad de proteger la información
La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas organizaciones han certificado su cumplimiento.
ISO 27001:2013
“Porque el negocio se sustenta a partir de la
información que maneja...”
Las organizaciones que implementan un Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001:2013, disponen de una gran flexibilidad a la hora de documentar la información, y como no, notan su impacto en los clientes y en la gestión de la organización:
LOGRAN EFICIENCIA EN SUS PROCESOS, gracias a la sistematización, aplicación de mejora continua, evaluaciones, apreciación y tratamiento del riesgo, aplicación de controles–administrativos, técnicos, y organizativos-, necesarios para minimizar los riesgos asociados a la gestión de la información.
SOLVENCIA EMPRESARIAL, por disponer de un sistema que garantiza la confidencialidad, integridad y disponibilidad de la información.
CONTINUIDAD, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial.
MEJORA DE LA IMAGEN DE LA ORGANIZACIÓN, al evidenciar su compromiso con la seguridad de la información propia y de clientes.
CONSOLIDAN SU CARTERA DE CLIENTES, los clientes ven que su información es protegida y manejada de forma segura.
AUMENTAN EL NÚMERO DE CLIENTES NUEVOS; el efecto “llamada” del cliente satisfecho unido a la mejora de la imagen de la organización que el certificado de seguridad de la información proporciona.
Beneficios para la organización
ISO 27001:2013
Los clientes (y otras partes interesadas como PROVEEDORES O PERSONAL INTERNO) se benefician claramente de la implementación de esta norma en una compañía:
Los clientes perciben una mejor gestión de la información, realizada por la organización. Los proveedores trabajan más cómodamente con la compañía y en mejores condiciones. El personal interno trabaja de forma más eficaz y con una mayor motivación debido a la
comprensión de la importancia de su contribución individual.
... y es que la norma ISO 27001:2013, “amplía su preocupación”, más allá de los clientes; concepto de “otras partes interesadas”.
Ventajas para los grupos de interés
ISO 27001:2013
Requisitos de la norma
ISO 27001:2013Estructurada en 10 puntos que sirven de base para otros sistemas de gestión y en el AnexoA, que recoge los controles a ser implementados en la organización:
Objeto y campo de aplicación Referencias normativas Términos y definiciones Contexto de la organización Liderazgo Planificación
Soporte Operación Evaluación del desempeño Mejora Anexo A
ISO 27001:2013
Requisitos de la norma
Anexo A - ISO 27001:2013 Objetivos de control y controles de referencia
A.5 Política de seguridad de la
información
A.6 Organización de la seguridad
de la información
A.7 Seguridad relativa a los
recursos humanos
A.8 Gestión de activos
A.9 Control de acceso
A.10 Criptografía
A.11 Seguridad física y del entorno
A.12 Seguridad de las
operaciones
A.13 Seguridad de las
comunicaciones
A.14 Adquisición, desarrollo y
mantenimiento de los sistemas de información
A.15 Relación con proveedores
A.16 Gestión de incidentes de
seguridad de la información
A.17 Aspectos de seguridad de la información para la gestión de la
continuidad del negocio
A.18 Cumplimiento
ISO 27001:2013
Requisitos de la norma
ISO 27001:2013
LIDERAZGO
APOYO Y OPERACIÓN
EVALUACIÓN DEL
DESEMPEÑO
MEJORA
PLANIFICACIÓN
Planificar Hacer
ActuarVerificar
Organización y su contexto
Apreciación y tratamiento de Riesgos
Necesidades y expectativas de
las partes interesadas pertinentes
Resultados del SGSI
Controles de referencia.
Medidas técnicas, organizativas, y
legales
Seguridad de la información
Requisitos Clave
El LIDERAZGO imprescindible de la alta dirección;
La consideración del CONTEXTO como factor estratégico;
EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave,
MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la información;
Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, controle de red y criptográficos;
Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el INTERCAMBIO de la información.
Disponer de CONTRATOS DE CONFIABLIDAD con los empleados;
Formalización de ACUERDOS CON PROVEEDORES que incluyan requisitos de seguridad;
Cumplimiento con la LEGISLACIÓN APLICABLE en materia de protección de datos personales;
USO DE SOFTWARE con licencias;
GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información;
ISO 27001:2013
Requisitos Clave
ISO 27001:2013
La importancia de la gestión desde el punto de vista seguridad de la información debe comunicarse dentro de la organización, la TOMA DE CONCIENCIA Y EL COMPROMISO de todas las personas es imprescindible para que el sistema funcione;
Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la seguridad de la información;
PRESERVACIÓN DE LA CONTINUIDAD de los recursos de formación, realización de pruebas.
La norma
Cláusula 4 - ISO 27001:2013
Contexto de la organización Conocimiento de la organización y su contexto:
La organización debe estudiar y analizar su entorno:Externo: aspectos de mercado, tecnológicos, políticos, económicos, sociales,..Interno: aspectos culturales, económicos, operativos, de desempeño,…
¿Quiénes son sus partes interesadas? ¿Cuáles son sus necesidades y expectativas?
Se ha de definir el ALCANCE de la certificación teniendo en cuenta el contexto, y de forma más detallada.
La organización debe establecer, documentar, implementar y mantener un sistema de gestión de seguridad de la información.
ISO 27001:2013
La norma
Cláusula 5 - ISO 27001:2013LiderazgoLa Alta Dirección de la compañía debe demostrar liderazgo y compromiso a través de las siguientes acciones:
Asegurándose de la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de negocio de la Organización.
Definiendo la Política de Seguridad de la información.
Estableciendo roles, responsabilidades y autoridades.
Promoviendo el uso del enfoque a procesos y la gestión y tratamiento de los riesgos.
ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
PlanificaciónLa planificación es la etapa más importante, pues de ella depende el éxito de la implementación del sistema.
Algunos de los hitos críticos son:
Apreciación de riesgo y oportunidades de mejora. Acciones a llevar a cabo.
Tratamiento de los riesgos de seguridad de la información.
Establecimiento de objetivos de seguridad de la información y planificación para su consecución
Planificación de los cambios. Los cambios se deben llevar a cabo de manera planificada y sistemática.
ISO 27001:2013
La norma
Cláusula 7 - ISO 27001:2013SoporteEl Sistema de Gestión se fundamenta en el uso eficiente de los recursos:
Recursos: Humanos, Infraestructuras y Ambiente para la operación de los procesos, de seguimiento y medición, conocimientos organizativos,…
Competencia. Se ha de determinar la competencia necesaria de las personas que realizan un trabajo que afecta al desempeño y eficacia del sistema, SUBCONTRATACIÓN INCLUIDA.
Toma de Conciencia de política, objetivos pertinentes, su contribución al éxito y las implicaciones de desviarse de lo previsto.
Comunicación interna y externa.
Información documentada (Mayor flexibilidad).
ISO 27001:2013
La norma
Cláusula 8 - ISO 27001:2013
Operación
Aquí se encuentran algunas de las cláusulas más importantes dela norma:
Apreciación de riesgos de la seguridad de la información a intervalos planificados o cuando se propongan o sucedan cambios relevantes o significativos, y siempre teniendo en cuenta los criterios definidos en la metodología de apreciación de riesgos.
Tratamiento de los riesgos de seguridad de la información
ISO 27001:2013
Evaluación del desempeño
Una vez implementado el sistema de gestión deseguridad de la información, la norma exige unseguimiento permanente y revisiones periódicaspara mejorar su desempeño:
Seguimiento, medición, análisis y evaluación.
Auditorías internas a intervalos planificados.
Revisión del Sistema por la Dirección. Se hande definir las entradas y salidas de la revisión.
La norma
Cláusula 9 - ISO 27001:2013
ISO 27001:2013
Mejora
La compañía debe asegurarse de mejorar continuamente la eficacia y la eficiencia de los procesos
No Conformidades y Acciones CorrectivasYa no aparecen como tal, las Acciones Preventivas
Mejora continua
La norma
Cláusula 10 - ISO 27001:2013
ISO 27001:2013
Información
PERSONAS
CUMPLIMIENTO
SEGURIDAD EN EL PUESTO DE TRABAJO
SEGURIDAD EN LOS SISTEMAS
SEGURIDAD EN LA RED
SEGURIDAD FÍSICA
ISO 27001:2013
SEGURIDAD EN LAS APLICACIONES Y DATOSPROVEEDORES
SEGURIDAD EN EL DESARROLLO
Aspectos a tener en cuenta
Ejemplos de acciones a realizar en aplicación de esta norma*
ISO 27001:2013
Realización del análisis de riesgos Formalización de contratos de confidencialidad con los empleados y
proveedores. Formalización de acuerdos prestación de servicio Uso de credenciales de acceso a las instalaciones para visitantes Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos
biométricos,… Uso de dispositivos de alimentación interrumpida. Uso de controladores de temperatura CPD. Uso de licencias legales. Realización de planes de continuidad Planes de prueba: caída de suministro eléctrico, fallos en los servidores,
fallo comunicaciones, incendio edificio, ….
La seguridad debe ser inherente a los procesos de información y del negocio.
*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización
ISO 27001:2013
Política de gestión de contraseñas Limitar la utilización de usuarios genéricos y los permisos de administración Restringir los puertos USB a puestos determinados Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los
dispositivos móviles Instalación de Firewalls, VPN Controlar y prohibir el acceso remoto hacia la propia organización. Limitar la navegación a páginas de ciertos contenidos. Sistemas de Detección de Intrusos. Realización de copias de seguridad. Segmentación de redes. Conexiones seguras. Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada. Uso certificado digitales para el intercambio de información. Etc.
La seguridad debe ser inherente a los procesos de información y del negocio.
Ejemplos de acciones a realizar en aplicación de esta norma*
*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización
Mitos y Leyendas
Esto no es para mi …
Uno de los grandes “peros” que las organizaciones ponen a la implementación de la norma ISO 27001 es que ellos no son una organización de informática y que no les afecta.
ISO 27001:2013
No es una norma destinada a proteger exclusivamente al área informática.
Nada más alejado de la realidad. TODAS las organizaciones sin excepciónmanejan información. Ninguna organización puede darse el lujo de ignorar suimportancia ya que la mayor parte del éxito depende de ella.
La norma no sólo busca controlar el área informática, y a los desplieguestecnológicos o de Infraestructura (si son necesarios), sino que, sobre todo, estádestinada a gestionar los aspectos organizativos.
Mitos y Leyendas
Es para grandes organizaciones…
Las grandes organizaciones cuentan con recursos humanos, técnicos y económicos, suficientes que les permiten afrontar el mantenimiento de la seguridad en sus sistemas de información. Las pequeñas y medianas organizaciones a falta de esos recursos, necesita de una herramienta sencilla y de bajo coste que dé respuesta a los riesgos existentes y permita gestionar de forma eficaz y eficiente su información.
En la actualidad, son miles las organizaciones certificadas en todo el mundo y miles de estudios sobre los beneficios económicos que supone la implementación del sistema para las mismas.
ISO 27001:2013
Se trata de una oportunidad muy buena para equipararse al nivel de otras organizaciones demayor tamaño, la adopción de este tipo de sistemas es una alternativa adecuada para laspequeñas y medianas empresa. Pues permite establecer una metodología y una serie decontroles con las que preservar la seguridad de la información.
Mitos y Leyendas
¿Puede una organización permitirse no proteger su información?
Los motivos por los que la seguridad debe formar parte de cualquier organización,independientemente de su sector económico o de su tamaño, son muchos y variados, algunos delos cuales aparecen con mucha frecuencia en los medios de comunicación: fraudes electrónicos,casos de phishing en la banca, filtraciones no deseadas de información o de datos personales,cortes en las comunicaciones, etc.
ISO 27001:2013
Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y enmuchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida dereputación, etc.
¿Qué puedo esperar de ISO 27001?
ISO 27001:2013
Ayuda a conocer y gestionar de forma adecuada la información crítica de la organización.
Reducción de la probabilidad de riesgos por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información.
Garantiza que la información está protegida, disponible, y accesible.
Proporcionará mecanismos y controles para la protección de los activos de la organización.
Decisiones basadas en indicadores.
Claridad en la identificación de funciones y responsabilidades.
Gestión eficaz de las incidentes.
Estrategias de continuidad.
¿Qué puedo esperar de ISO 27001?
ISO 27001:2013
Preservación adecuada de la información de nuestros proveedores, y de la propia organización.
Ayuda a gestionar de forma segura la información crítica y sensible de nuestro clientes, garantizado que se establecen todos los controles necesarios para su preservación.
Control de los accesos a la información.
Conformidad con la legislación y reglamentación.
Mejora en la percepción interna y externa de la organización.
Control de los proveedores.
Reducción de fallos y errores al integrar el riesgo en la gestión preventiva y de mejora.
Y mucho más…
Contáctenos ahora y apueste por el
“DESARROLLO COMPETITIVO”
[email protected] | www.intedya.com
www.intedya.com
Nuestra Estrategia, EL DESARROLLO COMPETITIVO.