NORMAS DE ISO PARA AUDITAR :

a). Seguridad de Datos

b). Seguridad de Base de Datos
AUDITORIA DE SISTEMAS
PROFESOR: JOAQUÍN OROPEZA
ALUMNA: BRIEDA MIRIAN PAGÁN SOTO
CICLO: 4TO
AÑO: 2019
 Un proceso
diseñado para
proteger una
red de datos

Y se
complementan
Ordenadores entre si para
Autorizados incrementar la
seguridad en
general

Usuarios y Mediante
Aplicaciones Administrativos
para llevar a físicos y
cabo la controles
actividad tecnológicos
 ISO 27001
SEGURIDAD DE INFORMACION (SEGURIDAD DE
INFORMACION)

Los normas ISO son normas o estándares de seguridad establecidas por la organización para el fin de
preservar la información, se ha demostrado que no es suficiente la implantación de controles y
procedimientos de seguridad realizados frecuentemente sin un criterio establecido y sin considerar
toda la información esencial que se debe proteger.

La organización de estandarización (ISO), a través de las normas recogidas en ISO / IEC 27000, establece una
implementación efectiva de la seguridad de la Información desarrolladas en la norma ISO/27001 / ISO 27002.

Los requisitos de la norma ISO 27001 norma nos aportan un sistema de gestión de la Seguridad de
Información (SGSI), consiste en medidas orientadas a proteger la información , indistintamente de
formato de la misma
 LOS OBJETIVOS DEL SGSI SON PRESERVAR:

DISPONIBILIDAD DE LA
CONFINDENCIALIDAD INTEGRIDAD
INFORMACION
AMENAZA MAS COMUNES A LAS REDES Y LOS DATOS DE TRANSITOS

UNA INFRAESTRUCTURA DE RED

ES SUSCEPTIBLES A DOS TIPOS
DE ATAQUES

ATAQUES PASIVOS: cuando un

atacante de Red solo intercepta los ATAQUES ACTIVOS:
datos que viajan mediante la Red. A cuando un atacante de
menudo los, ataques pasivos se Red trabaja activamente
utilizan en el comienzo de los para cambiar los datos de
ataques pasivos se mas elaborados transito, o los
como un medio para reunir componentes de red.
información
La ISO 27001 SE BASA EN EL CICLO PVHA Y SE INTEGRA CON EL ENFOQUE DE GESTION DE
SEGURIDAD

La aplicación de los controle de seguridad se pueden utilizar dentro del plan de

tratamiento de Riesgo definido para la aplicación de todos los controles del sistema
de GESTION DE SEGURIDAD DE LA INFORMACION. De acuerdo a la norma de ISO
27002, los controles de gestión de seguridad de red deben ser considerados como:

Controles de Red: Seguridad de los
servicios de Red
un conjunto de controles
soluciones de red y niveles
generales que deben
de rendimiento y seguridad
aplicarse procedimientos
deben ser definidos , estos
de la separación de las
acuerdos de servicios
funciones entre las redes y
deben ser considerados de
ordenadores.
forma interna y externa.
La Segregación de
las Redes los servicios,
los sistemas de información,
los usuarios, las estaciones
de trabajo y los servidores
deben encontrarse por
separado en distintas redes
según los criterios que han
sido definido. Como la
esposion al riesgo y al valor
del negocio.
ELEMENTOS O FASES PARA LA IMPLEMENTACION DE UN SGSI

El sistema de Gestión de la seguridad de

Información que propone la norma ISO 27001 se
puede resumir en las siguientes fases .
 POLITICAS DE
POLITICA DE
SEGURIDAD DE LA
GESTION DE Acceso no autorizado a
INFORMACION Gestionar los riesgos en la
INCIDENTES la Informacion
seguridad de informacion

Asegurar la confidencialidad, Divulgación de

Integridad y disponibilidad de informacion sensible
la Informacion.

Mantener y evaluar Denegación del Servicio

subsistema de la seguridad de
la Informacion

Daño de la Informacion
* Regular la recolección,
almacenamiento, uso,
circulación y eliminación REPORTAR LOS INCIDENTES DE
SEGURIDAD DE INFORMACION A
TRAVÉS DE LOS MECANISMOS Administración del riesgo en
Establecer procesos AUTORIZADOS. seguridad de Informacion
POLITICA DE
lineamientos para el
PROTECCION DE
tratamiento de datos Uso de controles criptográficos
DATOS
personales.
OTRAS POLITICAS
Seguridad física y del entorno
APLICABLES
Dar a conocer a todos nuestros
usuarios los derechos y deberes Controles contra códigos
que se derivan de la protección maliciosos
de datos personales
Respaldo de la Informacion