0 Bewertungen0% fanden dieses Dokument nützlich (0 Abstimmungen)
451 Ansichten51 Seiten
Este documento presenta información sobre la Norma ISO 27000. Explica que la ISO es la Organización Internacional para la Estandarización y que la Norma ISO 27000 establece los principios y vocabulario para la gestión de la seguridad de la información. Luego describe algunas de las normas que componen la Serie ISO 27000 como ISO 27001, 27002 y 27003. Finalmente, resume los objetivos y controles establecidos en ISO 27001-27002 para la implementación de un sistema de gestión de seguridad de la información.
Este documento presenta información sobre la Norma ISO 27000. Explica que la ISO es la Organización Internacional para la Estandarización y que la Norma ISO 27000 establece los principios y vocabulario para la gestión de la seguridad de la información. Luego describe algunas de las normas que componen la Serie ISO 27000 como ISO 27001, 27002 y 27003. Finalmente, resume los objetivos y controles establecidos en ISO 27001-27002 para la implementación de un sistema de gestión de seguridad de la información.
Este documento presenta información sobre la Norma ISO 27000. Explica que la ISO es la Organización Internacional para la Estandarización y que la Norma ISO 27000 establece los principios y vocabulario para la gestión de la seguridad de la información. Luego describe algunas de las normas que componen la Serie ISO 27000 como ISO 27001, 27002 y 27003. Finalmente, resume los objetivos y controles establecidos en ISO 27001-27002 para la implementación de un sistema de gestión de seguridad de la información.
Cristian Camilo Carvajal Losada Universidad de la Amazonia Florencia, Caquet, Colombia 1 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Introduccin
2 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Agenda 1. Qu es ISO? 2. Qu es la norma ISO 27000? 3. Serie ISO 27000 4. Beneficios 5. En que tipo de organizaciones se puede aplicar esta norma. 6. Qu hacer para implantar ISO 27000? 7. Que es ISO 27001? 8. Objetivos y controles ISO 27001-27002 9. Conclusiones
3 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Qu es ISO?
Organizacin Internacional para la Estandarizacin (International Organization for Standardization) 4 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Qu es la norma ISO 27000? 5 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Serie ISO 27000 ISO 27000: Principios y vocabulario. ISO 27001: Requisitos del SGSI ISO 27002: Cdigo de practicas ISO 27003: Gua de implementacin basado en el modelo PDCA ISO 27004: Mtricas de la seguridad de la informacin. ISO 27005: Gestin de riesgos ISO 27006: Requisitos para la acreditacin de entidades de auditora y certificacin ISO 27007: Gua de auditoria
6 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Beneficios Revisados Acceso Confianza Establece 7 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora En que tipo de Organizaciones se puede aplicar esta Norma 8 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Qu hacer para implantar ISO 27000? Lograr el compromiso de la gerencia. Establecer y adiestrar el equipo de implantacin. Elaborar la documentacin del SGSI. Auditar el SGSI 9 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora ISO 27001 Sistemas de Gestin de Seguridad de la informacin 10 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora SGSI.- La parte del Sistema de gestin Global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. 11 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 12 Seguridad de la informacin Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 13 Valoracin de los riesgos sobre la base de la cual se organiza un SGSI Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Principales claves para implantar la ISO 27001
Identificar los objetivos de negocio Seleccionar un alcance adecuado Determinar el nivel de madurez ISO 27001 Analizar el retorno de inversin
14 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora ndice 1. Introduccin 2. Objeto 3. Referencia Normativa 4. Trminos y Definiciones 5. Sistema de gestin de la seguridad de la informacin 6. Responsabilidad de la direccin. 7. Auditorias internas del SGSI 8. Revisin del SGSI por la direccin. 9. Mejora del SGSI
15 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 1. Introduccin 1.1 Generalidades 1.2 Enfoque basado en procesos 1.3 Compatibilidad con otros sistemas de gestin 16 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 1. Introduccion 17 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 2. Objeto 2.1 Generalidades
2.2 Aplicacin 18 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 3. Referencia Normativa 19 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 4. Trminos y definiciones Aceptacin del riesgo Activo Anlisis del riesgo Confidencialidad Declaracin de aplicabilidad Disponibilidad Evaluacin del riesgo 20 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 5. Sistema de gestin de la seguridad de la informacin 5.1 Requisitos generales
5.2 Establecimiento y gestin del SGSI 5.2.1 Establecimiento y gestin del SGSI 5.2.2 Implementacin y operacin del SGSI 5.2.3 Seguimiento y revisin del SGSI 5.2.4 Mantenimiento y mejora del SGSI
5.3 Requisitos de documentacin 5.3.1 Generalidades 5.3.2 Control de documentos. 5.3.3 Control de registros
21 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 6. Responsabilidad de la direccin 6.1 Compromiso de la direccin 6.2 Gestin de recursos 6.2.1 Provisin de los recursos 6.2.2 Formacin, toma de conciencia y competencia.
22 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 7. Auditorias internas del SGSI Determinacin si los objetivos de control, controles, procesos y procedimientos de su SGSI:
a) Cumple con los requisitos de la norma. b) Cumple con los requisitos identificados de seguridad de la informacin. c) Estn implementados y se mantienen eficazmente. d) Tienen un desempeo acorde con lo esperado.
23 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 8. Revisin del SGSI por la direccin 8.1 Generalidades. 8.2 Informacin para la revisin. 8.3 Resultados de la revisin. 24 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 9. Mejora del SGSI 9.1 Mejora continua
9.2 Accin correctiva
9.3 Accin preventiva 25 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 26 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 1. Poltica de seguridad 2. Organizacin de la seguridad de la informacin 3. Gestin de activos 4. Seguridad de los recursos humanos 5. Seguridad fsica y del entorno 6. Gestin de comunicaciones y operaciones 7. Control de acceso 8. Adquisicin, desarrollo y mantenimiento de sistemas de informacin 9. Gestin de los incidentes de la seguridad de la informacin 10. Gestin de continuidad del negocio 11. Cumplimiento
27 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 1. Poltica de seguridad
1.1 Poltica de seguridad de la informacin Documento de la poltica de seguridad de la informacin Revisin de la poltica de seguridad de la informacin. 28 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 2. Organizacin de la seguridad de la informacin
2.1 Organizacin Interna Compromiso de la direccin con la seguridad de la informacin. Coordinacin de la seguridad de la informacin. Asignacin de responsabilidades para la seguridad de la informacin. Proceso de autorizacin para los servicios de procesamiento de informacin. Acuerdos sobre confidencialidad Contacto con las autoridades Contacto con grupos de inters especiales Revisin independiente de la seguridad de la informacin.
29 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 2. Organizacin de la seguridad de la informacin
2.2 Partes Externas Identificacin de los riesgos relacionados con las partes externas. Consideraciones de la seguridad cuando se trata con los clientes Consideraciones de la seguridad en los acuerdos con terceras partes 30 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 3. Gestin de activos
3.1 Responsabilidad por los activos Inventario de activos Propiedad de los activos Uso aceptable de los activos
3.2 Clasificacin de la informacin Directrices de clasificacin Etiquetado y manejo de informacin.
31 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 4. Seguridad de los recursos humanos
4.1 Antes de la contratacin laboral Roles y Responsabilidades Seleccin Trminos y condiciones laborales
4.2 Durante la vigilancia de la contratacin laboral Responsabilidades de la direccin Educacin, formacin y concientizacin sobre seguridad de la informacin. Proceso disciplinario.
4.3 Terminacin o cambio del contrato laboral Responsabilidades en la terminacin Devolucin de activos Retiro de los derechos de acceso.
32 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 5. Seguridad fsica y del entorno
5.1 reas seguras Permetro de seguridad fsica. Controles de acceso fsico. Seguridad de oficinas, recinto e instalaciones. Proteccin contra amenazas externas y ambientales. Trabajo en reas seguras. reas de carga, despacho y acceso publico
33 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora 5.2 Seguridad de los equipos
Ubicacin y proteccin de equipos. Servicios de suministro. Seguridad del cableado. Mantenimiento de los equipos. Seguridad de los equipos fuera de las instalaciones. Seguridad en la reutilizacin o eliminacin de los equipos. Retiro de activos
Objetivos de control y controles ISO 27001-27002 34 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 6. Gestin de comunicaciones y operaciones
6.1 Procedimientos operacionales y responsabilidades Documentacin de los procedimientos Gestin del cambio. Distribucin de funciones. Separacin de las instalaciones de desarrollo, ensayo y operacin.
6.2 Gestin de la prestacin del servicio por terceras partes Prestacin del servicio. Monitoreo y revisin de los servicios por terceras partes. Gestin de los cambios en los servicio por terceras partes.
6.3 Planificacin y aceptacin del sistema. Gestin de la capacidad Aceptacin del sistema.
35 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 6.4 Proteccin contra cdigos maliciosos Controles contra cdigos maliciosos Controles contra cdigos mviles.
6.5 Respaldo Respaldo de la informacin.
6.6 Gestin de la seguridad de las redes Controles de las redes. Seguridad de los servicios de la red
36 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 6.7 Manejo de los medios Gestin de los medios removibles. Eliminacin de los medios. Procedimientos para el manejo de la informacin. Seguridad de la documentacin del sistema.
6.8 Intercambio de la informacin. Polticas y procedimientos para el intercambio de informacin. Acuerdos para el intercambio. Medios fsicos en transito. Mensajera electrnica. Sistemas de informacin del negocio
Rohos Mini Drive 37 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 6.9 Servicios de comercio electrnico. Comercio electrnico Transacciones en lnea Informacin disponible al publico.
6.10 Monitoreo Registro de incidencias Monitoreo del uso del sistema Proteccin de la informacin del registro. Registros del administrador y del operador. Registro de fallas. Sincronizacin de relojes.
Uniblue libre 38 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 7. Control de Acceso
7.1 Requisito del negocio para el control de acceso Poltica de control de acceso.
7.2 Gestin del acceso de usuarios Registro de usuarios. Gestin de privilegios. Gestin de contraseas para usuarios. Revisin de los derechos de acceso de los usuarios.
7.3 Responsabilidades de los usuarios Uso de contraseas Equipo de usuario desatendidos Poltica de escritorio despejado y de pantalla despejada.
39 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 7.4 Control de acceso a las redes
Poltica de uso de los servicios de red. Autenticacin de los usuarios para conexiones externas. Identificacin de los equipos en las redes. Proteccin de los puertos de configuracin y diagnostico remoto. Separacin en las redes. Control de conexin a las redes. Control de enrutamiento en la red.
40 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 7.5 Control de acceso al sistema operativo Procedimientos de ingreso seguros. Identificacin y autenticacin de usuarios. Sistemas de gestin de contraseas. Uso de las utilidades del sistema. Tiempo de inactividad de la sesin. Limitacin del tiempo de conexin.
7.6 Control de acceso a las aplicaciones y a la informacin. Restriccin de acceso a la informacin. Aislamiento de sistemas sensibles.
7.7 Computacin mvil y trabajo remoto Computacin y comunicaciones mviles. Trabajo remoto
Tech Net 41 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 8. Adquisicin, desarrollo y mantenimiento de sistemas de informacin
8.1 Requisitos de seguridad de los sistemas de informacin. Anlisis y especificacin de los requisitos de seguridad.
8.2 Procesamiento correcto en las aplicaciones Validacin de los datos de entrada. Control de procesamiento interno. Integridad del mensaje. Validacin de los datos de salida
42 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 8.3 Controles criptogrficos. Poltica sobre el uso de controles criptogrficos. Gestin de llaves.
8.4 Seguridad de los archivos del sistema Control del software operativo Proteccin de los datos de prueba. Control de acceso al cdigo fuente de los programas.
8.5 Seguridad en los procesos de desarrollo y soporte. Procedimientos de control de cambios Revisin tcnica de las aplicaciones despus de los cambios en el sistema operativo. Restricciones en los cambios a los paquetes software. Fuga de informacin. Desarrollo de software contratado.
43 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 8.6 Gestin de la vulnerabilidad tcnica. Control de vulnerabilidades tcnicas
44 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 9. Gestin de los incidentes de la seguridad de la informacin
9.1 Reporte sobre los eventos y las debilidades de la seguridad de la informacin Reporte sobre los eventos de seguridad de la informacin. Reporte sobre las debilidades de la seguridad.
9.2 Gestin de los incidentes y las mejoras en la seguridad de la informacin. Responsabilidades y procedimientos Aprendizaje debido a los incidentes de seguridad de la informacin Recoleccin de evidencia.
45 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 10. Gestin de la continuidad del negocio
10.1 Aspectos de seguridad de la informacin, de la gestin la continuidad del negocio. Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad. Continuidad del negocio y evaluacin de riesgos Desarrollo e implementacin de planes de continuidad que incluyan la seguridad Estructura para la planificacin de la continuidad del negocio. Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio. 46 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 11. Cumplimiento
11.1 Cumplimiento de los requisitos legales. Identificacin de la legislacin aplicable Derechos de propiedad intelectual(DPI) Proteccin de los registros de la organizacin. Proteccin de los datos y privacidad de la informacin personal. Prevencin del uso inadecuado de los servicios de procesamiento de informacin. Reglamentacin de los controles criptogrficos.
11.2 Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico. Cumplimiento con las polticas y normas de seguridad. Verificacin del cumplimiento.
47 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Objetivos de control y controles ISO 27001-27002 11.3 Consideraciones de la auditoria de los sistemas de informacin. Controles de auditoria de los sistemas de informacin. Proteccin de las herramientas de auditoria de los sistemas de informacin. 48 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Conclusiones Una vez que el Sistema de Gestin de la Seguridad de la Informacin ha sido implementado en una organizacin, se puede optar por su certificacin, siguiendo el estndar ISO 27001, ante un Organismo Internacional de Acreditacin. El propsito de una certificacin le demuestra al mercado que la organizacin tiene un adecuado Sistema de Gestin que da Seguridad de la Informacin. La existencia del certificado no implica que la empresa este libre de riesgos, sino que la empresa ha implantado un adecuado sistema de gestin de dichos riesgos y una continuidad de la organizacin. 49 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Bibliografas http://www.slideshare.net/moRado2/iso-27k-abril-2013?qid=00ba86d3- e839-4322-b55f-4ed51f4ad195&v=qf1&b=&from_search=23 Norma. NTC-ISO-IEC 27001 http://www.slideshare.net/mariamervi/iso-27000- estandar?qid=00ba86d3-e839-4322-b55f- 4ed51f4ad195&v=default&b=&from_search=9 http://www.slideshare.net/haroll1/norma-iso-27000?qid=00ba86d3- e839-4322-b55f-4ed51f4ad195&v=default&b=&from_search=12
50 Universidad de la Amazonia Construimos regin con tica, inclusin responsabilidad social y reciprocidad Auditora Gracia s! 51