RESUMEN ISO 27001

ISO (Organizacin Internacional para la Estandarizacin) forma parte del sistema especializado para la estandarizacin universal. El estndar Internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Enfoque del Proceso: El enfoque de un sistema de proceso dentro de una organizacin, junto con la identificacin y Estndar Internacional fomenta que sus usuarios enfaticen la importancia de: a) b) c) d) Entender los requerimientos de seguridad de la informacin de una organizacin Implementar y operar controles para manejar los riesgos de la seguridad de la informacin Monitorear y revisar el desempeo y la efectividad del SGSI Mejoramiento continuo en base a la medicin del objetivo

Compatibilidad con otros sistemas de gestin: Este estndar Internacional se alinea con ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementacin y operacin consistente e integrada con los estndares de gestin relacionados. 1. Alcance Este estndar internacional abarca todos los tipos de organizaciones (por ejemplo; empresas comerciales, agencias, gubernamentales, organizaciones sin fines de lucro). Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos comerciales de la organizacin. 1.1 Aplicacin: Son genricos y estn diseados para ser aplicables a todas alas organizacin, sin importar el tipo, tamao y naturaleza. No es aceptable la exclusin de algunos requerimientos. 2. Referencias Normativas ISO /IEC 17799: 2005, Tecnologa de la informacin Tcnicas de seguridad- Cdigo de practica para la gestin de la seguridad de la informacin. 3. Trminos y definiciones Activo: Cualquier cosa que tenga valor para la organizacin Disponibilidad: propiedad de estar disponible y utilizable cuando lo requiera una entidad.

Confidencialidad: propiedad que esta informacion este disponible y no sea divulgada a personas no autorizadas Seguridad de informacin: preservacin de la confidencialidad, integridad y disponibilidad de la informacin. Evento de seguridad de la informacin: situacin previamente desconocida que puede ser relevante para la seguridad. Incidente de seguridad de la informacin: serie de eventos de seguridad de la informacin no deseados o inesperados que puede ocasionar amenazas. Sistema de gestin de seguridad de la informacin SGSI: parte del sistema gerencial general. Integridad: Salvaguardar la exactitud e integridad de los activos Riesgo Total: riesgo remanente despus del tratamiento del riesgo Aceptacin de riesgo: decisin de aceptar el riesgo Anlisis de riesgo: estimar riesgos Valuacin del riesgo: anlisis de riesgo y evaluacin Evaluacin de riesgo: comparar el riesgo y la importancia Gestin del riesgo: actividades coordinadas para dirigir y controlar la organizacin. Tratamiento del riesgo: seleccin e implementacin de riesgos Enunciado de aplicabilidad: describe objetivos de control que son relevantes Y aplicables al SGSI

4. Sistema de gestin de seguridad de la informacin: 4.1 Requerimientos generales: establecer, implementar, operar , monitorear, mantener y mejorar continuamente un SGSI documentado 4.2 Establecer el SGSI Implementar y operar el SGSI Monitorear y revisar el SGSI Mantener y mejorar el SGSI 4.3 Requerimientos de documentacin 4.3.1 General La documentacin debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones y polticas gerenciales. 4.3.2 Control de documentos

Los documentos deben ser protegidos y controlados y acciones tales como: revisar y actualizar los documentos conforme sea necesario, identificar cambios, que los documentos se mantengan legibles e identificadas 4.3.3 Control de registros

Establecer y mantener registros para proporcionar evidencia de conformidades con los requerimientos y la operacin como tambin protegidas y controladas. 5. Responsabilidad de la gerencia 5.1 Compromiso de la gerencia Se trata de proporcionar evidencia de su compromiso con el establecimiento, implementacin, operacin monitoreo, revisin, mantenimiento y mejoramiento del SGSI al establecer polticas, roles objetivos y planes. 5.2 Gestin de recursos: 5.2.1 Provisin de recursos: determinar y proporcionar los recursos necesarios establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI 5.2.2 Capacitacin de conocimiento y capacidad: Asegurar que todo personal a quien asigno responsabilidades definidas en el SGSI sea competente para realizar tareas como capacitacin, mantener registro de educacin. 6. Auditorias internas SGSI Realizar auditorias internas para determinar los objetivos de control, procesos y procedimientos del SGSI que cumplan con los requerimientos estndares internacionales. 7. Revisin Gerencial del SGSI: La gerencia debe revisar el SGSI de la organizacin e intervalos planteados por lo menos una vez al aos para asegurar su continuidad, convivencia y efectividad. Insumo de revisin: Resultados de auditorias y revisiones del SGSI Retroalimentacin de las partes interesadas Status de acciones preventivas y correctivas Vulnerabilidades o amenazas no tratadas adecuadamente Resultados de la informacin: Mejoramiento de la efectividad del SGSI Actualizaciones de las evaluaciones de riesgos Modificacin de procedimientos y controles que afectan la seguridad de la informacin Necesidades de recursos Mejoramiento de como se mide la efectividad 8. Mejoramiento del SGSI 8.1 Mejoramiento continuo: mejorar continuamente la efectividad del SGSI a travs del uso de la poltica de seguridad de informacin, objetivos, resultados y anlisis de los eventos. 8.2 Accin correctiva: Identificar las no-conformidades Determinar las causas de las no- conformidades

 Determinar e implementar la accin correctiva necesaria Registrar los resultados de la accin tomada Revisar la accin correctiva tomada 8.3 Accin preventiva: determinar la accin para eliminar la causa de las noconformidades potenciales de los requerimientos SGSI para evitar ocurrencia. Tales como: Identificar las no-conformidades potenciales y sus causas Evaluar la necesidad para la accin para evitar la ocurrencia de no conformidades Determinar e implementar la accin preventiva necesaria CONCLUSIONES: ISO 27001 es un Estndar Internacional de sistemas de Gestin de Seguridad de la informacin, que permite implementar conclusiones para evitar amenazas, proteger la informacin ya sea de una organizacin o empresas. Al norma ISO 27001 nos da una serie de beneficios tales como disponibilidad de la informacin y proteccin, reduccin a los costos que se ocasiona por incidentes de las amenazas entre otras cosas. EL ISO 27001 es una norma primordial para los datos de informacin DIFERENCIAS SEGURIDAD DE LA INFORMACION Y SEGURIDAD INFORMATICA La seguridad de la informacin es donde se intenta proteger la informacin de la organizacin mediante medidas de seguridad, informacin como impresora, discos duros, e incluso las personas que la conocen en cambio la seguridad informtica integra toda la informacin independiente en el medio q se encuentre, nicamente atiende de las instalaciones informticas y de la informacin en medios digitales la seguridad informtica abarca una parte de la seguridad de la in informacin.

SEGURIDAD DE LA INFORMACIN Riesgos organizacionales , Operacin y fsicos Normas y polticas Errores, actos deliberados del personal Control insuficiente de cambios Comportamiento personal

SEGURIDAD INFORMTICA Vulnerabilidades y amenazas Virus Spam Contraseas Ataques DoS