Beruflich Dokumente
Kultur Dokumente
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
AGENDA
I. Qu es la ISO?
II. La nueva estructura ISO 27001:2013.
III. Nuevos conceptos.
IV. La ISO 27002:2013.
V. Conclusiones
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
I. Qu es la ISO?
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
(Source: iso.org)
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
Historia:
El proyecto nace con la aprobacin de un articulo en el New Work
Item (NWI) el 19 de mayo 2009.
Lo primeros 3 borradores de trabajo conservan la estructura de 1ra
edicin.
La estructura comn y el texto bsico actual aplican al draft 4 en
oposicin de varios organismos nacionales.
El 2012-02-15 el Consejo de Gestin Tcnica de ISO (TMB) decidi que
la norma ISO 27001 tiene que seguir la nueva estructura, unificado,
pero que las desviaciones justificadas se admiten.
La alianza para elevar el nivel de abstraccin se logr
La alianza para dejar caer la Declaracin de aplicabilidad fall.
Los intentos para matar el proyecto hasta el final fracasaron.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
1998
BS 7779-2
2002
BS-7799-1
2005
ISO/IEC
27001:2005
2013
ISO/IEC
27001:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
ANEXO SL
INTEGRAR LAS NORMAS Y TERMINOS COMUNES
ISO 30301:2011, Informacin y documentacin - Sistemas de gestin de documentos Requisitos (armonizado con el anexo SL)
ISO 22301:2012, la seguridad societaria - Los sistemas de gestin de continuidad de
negocio - Requisitos (armonizado con el anexo SL)
ISO 20121:2012, sistemas de gestin de la sostenibilidad de eventos - Requisitos con
orientacin para su uso (armonizado con el anexo SL
ISO 27001:2013, sistemas de gestin de la seguridad de la informacin.
PRIME PROFESIONAL
Fuente Anexo SL
Ing. Manuel Collazos Balaguer
1. Introduccin
2. Objeto
2. Objeto
3. Referencias Normativas
3. Referencias Normativas
4. Sistema de Gestin de la
Seguridad de la Informacin
4.1 General
4.2 SGSI
4. Contexto de la Organizacin
5. Liderazgo
4.2.1 Establecer
4.2.2 Implementar y Operar
4.2.3 Monitorear y Revisar
4.2.4 Mantener y Mejorar
6. Planificacin
7. Soporte
4.3 Documentar
8. Operacin
5. Responsabilidad de la Direccin
6. Auditora Interna
7. Revisin de la Direccin
8. Mejora
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
10
VENTAJAS Y DESVENTAJAS
VENTAJAS
DESVENTAJAS
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
11
ALGUNOS DATOS
ISO 27001:2013
ISO 27001:2005
7 CLAUSULAS:
La mas resaltante es el
contexto de la organizacin.
5 CLAUSULAS:
154 requerimiento
178 requerimientos
32 nuevos requerimientos
El anexo A tiene 14 categoras
de control (del 5 al 18)
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
12
NUEVOS REQUERIMIENTOS
4.2 Entendiendo las necesidades y expectativas de las partes interesadas.
4.3 Determinar los objetivos del SGSI.
5.1 Liderazgo y compromiso.
6.1 Acciones para direccionar los riesgos y las oportunidades.
6.2 Los objetivos de seguridad de la informacin y la planificacin para
alcanzarlos.
7.3 Sensibilizacin.
7.4 Comunicacin.
7.5 Informacin documentada.
8.1 Planificacin y control operativo.
9.1 Seguimiento, medicin, anlisis y evaluacin.
9.3 Revisin de la Direccin.
10.1 No-conformidades y acciones correctivas.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
13
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
14
Qu es Informacin?
Las cuentas bancarias, estados de cuenta,
deuda tributaria, resultados de anlisis
clnicos, configuracin de un equipo de
red, cdigos de un sistema, tipo de
cambio, la propuesta tcnica y econmica,
estado financiero, el CV, la compra de una
empresa, las imgenes de una cmara, los
sueldos, correos, grabacin de un
telfono, logs de auditora, contratos,
examen de admisin, identificacin,
resultados electorales, la comunicacin
telefnica,
15
Qu es Seguridad de la Informacin?
La informacin es un recurso que, como el resto de los activos, tiene
valor para una organizacin y por consiguiente debe ser debidamente
protegida. La seguridad de la informacin protege sta de una amplia
gama de amenazas, a fin de garantizar la continuidad del negocio,
minimizar el dao al mismo y maximizar el retorno sobre las inversiones y
las oportunidades.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
16
ACTIVOS
ISO 27002:2013 Clausula 8.1
Activos relacionados con las instalaciones de procesamiento de
informacin y la informacin deben ser identificados y un
inventario de los activos deber estar redactado y mantenido.
Activo
Activo de
Soporte
Activo Primario
Informacin
Procesos
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
17
PARTES INTERESADAS
ISO 27001:2013 Clausula 4.2
Entendiendo las necesidades y expectativas de las partes
interesadas
a) las partes interesadas que son relevantes para el
sistema de gestin de seguridad de la informacin, y
b) los requisitos de estas partes interesadas pertinentes a
la seguridad de la informacin.
Mis contribuyentes
requieren que les
brinde buenos
servicios en el
municipio
Los servicios de
limpieza publica,
infraestructura
urbana, parque y
jardines y seguridad
ciudadana tienen
que ser de calidad
La informacin de
esos procesos debe
ser confiable,
integra y disponible
para las tomas de
decisiones
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
18
RIESGOS
ISO 27001:2013 Clausula 6.1.2 Evaluacin de los riesgos de
la seguridad de la informacin.
c) identifica los riesgos de seguridad de la informacin:
1) aplicar el proceso de evaluacin de riesgos de seguridad de informacin
para identificar los riesgos asociados a la prdida de la confidencialidad,
integridad y disponibilidad de la informacin en el mbito del sistema de
gestin de la seguridad de informacin, y
2) identificar a los propietarios de los riesgos;
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
19
LIDERAZGO
ISO 27001:2013 Clausula 5.3 Roles de organizacin,
responsabilidades y autoridades
La alta direccin debe asegurarse de que las responsabilidades y autoridades
para las funciones pertinentes a la seguridad de informacin se asignen y se
comuniquen.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
20
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
21
7. Gestin de activos
8. Gestin de activos
9. Control de acceso
10. Criptografa
15. Cumplimiento
18. Cumplimiento
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
22
ISO 27002:2013
11 Clausulas de controles de
seguridad de la informacin
14 Clausulas de controles de
seguridad de la informacin
39 Categoras de control
35 Categoras de control
133 controles
111 controles
21 controles borrados
14 nuevos controles
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
23
Controles nuevos
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
24
V. Conclusiones
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer
25
CONCLUSIONES
Se nos viene un gran reto en la gestin de la seguridad de la informacin con
la nueva ISO 27001:2013
Los conceptos que debemos reforzar: Partes interesadas, Liderazgo,
Sensibilizacin, Comunicacin, Capacidades, Propietario del riesgo, Activos,
Gestin de Riesgos y Oportunidades, entre otros.
26
Muchas Gracias
por su atencin!
Ing. Manuel Collazos Balaguer
MASTER IMPLEMENTADOR Y
AUDITOR LIDER ISO 27001,
AUDITOR LIDER BS 25999
IMPLEMENTADOR LIDER ISO 22301
manuel.collazos@prime.pe
27