Beruflich Dokumente
Kultur Dokumente
TECNOLOGICOS DE INFORMACION
UTEA-APURIMAC-ABANCAY
E.P. INGENIERIA DE SISTEMAS E INFORMATICA
DOCENTE:
EDUARDO CHAVEZ NOSE
INTEGRANTES:
MILAN ENRIQUE DURAND SEQUEIROS
ALGIRIO NOSE
JORGE LUIS ARIAS NOSE
WILY SEQUEIROS NOSE
Implementacin de la
norma ISO-IEC 27001:2014
Seccin
Principios fundamentales de la
Seguridad de la Informacin
Qu es Seguridad?
El
trmino
seguridad
proviene
de
la
palabra
securitas del latn.
Cotidianamente se puede
referir a la seguridad como la
reduccin
del
riesgo
o
tambin a la confianza en
algo o alguien.
Sin embargo, el trmino
puede
tomar
diversos
sentidos segn el rea o
campo a la que haga
referencia.
Informacin y Activo
Informacin: Datos significativos
Activo: Cualquier bien que tiene
valor para la organizacin
Activo de Informacin
Las organizaciones poseen informacin
que deben proteger frente a riesgos y
amenazas para asegurar el correcto
funcionamiento de su negocio.
Este tipo de informacin imprescindible
para las empresas es lo que se
denomina activo de informacin.
Documento - Registro
Documento: Informacin y su medio
de soporte.
Registro: Documento que indique
los
resultados
obtenidos
o
proporcione
evidencia
de
las
actividades desempeadas.
Seguridad de la Informacin
La seguridad de la informacin es
el conjunto de medidas preventivas y
reactivas de las organizaciones que
permiten resguardar y proteger la
informacin buscando mantener las
dimensiones
(confidencialidad,
disponibilidad e integridad) de la
misma.
Seguridad de la Informacin
Abarca todo tipo de informacin
Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o
electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.
PRINCIPIOS BASICOS DE
SEGURIDAD
Confidencialidad
La confidencialidad es la propiedad
que impide la divulgacin de
informacin a personas o sistemas
no autorizados.
A grandes rasgos, asegura el acceso
a la informacin nicamente a
aquellas personas que cuenten con
la debida autorizacin.
Integridad
Es la propiedad que busca mantener
los datos libres de modificaciones no
autorizadas.
La integridad es mantener con
exactitud la informacin tal cual fue
generada, sin ser manipulada o
alterada por personas o procesos no
autorizados.
Disponibilidad
La disponibilidad es la caracterstica, cualidad
o condicin de la informacin de encontrarse
a disposicin de quienes deben acceder a
ella,
ya
sean
personas,
procesos
o
aplicaciones.
La disponibilidad es el acceso a la
informacin y a los sistemas por personas
autorizadas en el momento que as lo
requieran.
Anlisis de Riesgos
Vulnerabilidad
La debilidad de un activo o de un
control que puede ser explotada por
una o ms amenazas.
Las vulnerabilidades pueden ser
intrnsecas o extrnsecas.
Impacto
Cambio adverso importante en el nivel
de los objetivos de negocios logrados.
Consecue
ncia
(Impacto)
Riesgo
Tipos de Controles
Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la
informacin.
Hacer que socios y empleados firmen un acuerdo
de confidencialidad.
Establecer y mantener contactos apropiados con
los grupos de especialistas en seguridad de la
informacin.
Contratar slo personal calificado.
Tipos de Controles
Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o
riesgos relacionados con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).
Tipos de Controles
Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la
formacin, concienciacin, pruebas, procedimientos
y actividades de mantenimiento necesarios.
Procedimientos de emergencia, tales como copias
de seguridad peridicas, el almacenamiento en un
lugar seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
Seccin 2
Estndar y Marco
Normativo
Qu es ISO?
ISO es una red de organismos
nacionales de estandarizacin de
mas de 160 pases.
Los resultados finales de los trabajos
realizados por ISO son publicados
como normas internacionales.
Se han publicado mas de 19,000
normas desde 1947.
Principios
Bsicos de
las
Normas
ISO
CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTA
LISO ISO
14001
SALUD Y
SEGURIDA
D
TRABAJO
OHSAS
18001
SEGURIDA
D DE LA
INFORMACI
ON
ISO 27001
Qu es un SGSI?
Un SGSI (Sistema de Gestin de Seguridad de la
Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin de
un SGSI.
El Sistema de Gestin de la Seguridad de la Informacin
(SGSI) en las empresas ayuda a establecer estas
polticas, procedimientos y controles en relacin a
los objetivos de negocio de la organizacin.
En ingles se conoce con las siglas ISMS (Information
security management system)
Enfoque a Procesos
Ciclo de Deming
El circulo de DEMING se constituye como una
de las principales herramientas para lograr la
mejora continua en las organizaciones o
empresas que desean aplicar a la excelencia
en sistemas de gestion.
El conocido Ciclo Deming o tambin se le
denomina el ciclo PHVA que quiere decir
segn las iniciales (planear, hacer, verificar y
actuar) o ingles PDCA (Plan, Do, Check, Act)
Ciclo de Deming
Vocabula
rio
Industria
Generalida
des
Requisito
s
ISO 27000
Vocabulario
ISO 27001
Requisitos del
SGSI
ISO 27002
Cdigo
buenas
prticas
ISO 27003
Gua de
Implementa
cin
ISO 27011
Telecomunic
aciones
ISO 27004
Mtricas
ISO 27799
Salud
ISO 27009
Requisitos
organizacin
certificadora
ISO 27005
Gestin de
Riesgos
ISO 2700727008
Guias de
Auditoria
ISO 270XX
Vocabulario
ISO 27001
Especifica los requisitos de
gestin de un SGSI (Clusula
4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de
control y 114 controles
La organizacin puede ser
certificada en esta norma
ISO 27002
Gua para el cdigo de
prcticas para los controles de
la seguridad de la informacin
(Documento de referencia)
Clusulas escritas utilizando el
verbo "debera"
Compuesto de 14 clusulas,
35 objetivos de control y 114
controles
Una organizacin no puede ser
certificada en esta norma
Tambin conocida como ISO
17799
ISO 27003
Gua para el cdigo de
prcticas
para
la
implementacin de un
SGSI
Documento de referencia
para ser utilizado con las
normas ISO 27001 e ISO
27002
Consta de 9 clusulas que
definen 28 etapas para
implementar un SGSI
La certificacin con esta
norma no es posible
Seccin 3
Enfoque a Procesos
La aplicacin del enfoque de proceso
variar de una organizacin a otra en
funcin de su tamao, complejidad y
actividades
A menudo las organizaciones identifican
demasiados procesos
Los procesos se pueden definir como un
grupo lgico de tareas relacionadas entre
s, para alcanzar un objetivo definido.
ENTRADA
PROCESO
SALIDA
ISO 30301
Informacin y documentacin. Sistemas
de gestin para documentos. Requisitos.
La organizacin puede ser certificada en
esta norma.
La
implantacin
de
un
Sistema
de
Gestin
de
Seguridad de la Informacin
es una decisin estratgica
que debe involucrar a toda la
organizacin y que debe ser
apoyada y dirigida desde la
direccin
Iniciando el SGSI
Definicin del enfoque para la aplicacin del
SGSI
Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
ISO
ISO
ISO
ISO
27001
27002
27003
27004
Nivel de Madurez
Es
importante
determinar en que
nivel se encuentra la
organizacin, para ello
CMM
muestra
la
madurez
de
una
organizacin
basndose
en
la
capacidad
de
sus
procesos
FASE I Organizacin
Fase I Organizacin
Desarrollar las actividades
principales para la direccin e
inicio de la implantacin del SGSI.
Obtener el apoyo institucional.
Organizacin de la Seguridad
Comit Gestin
El Comit de Gestin de Seguridad de la Informacin es el
mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:
Informar la situacin Institucional en materia de seguridad de la
informacin.
Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la
Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo,
revisin, mantenimiento y mejora continua del Sistema de Gestin
Seguridad de la Informacin (SGSI).
Comit Tcnico
El Comit Tcnico de Seguridad de la Informacin es un rgano
consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener un
amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:
Tipos de Poltica
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
Factores en la Seleccin de la
Metodologa
1. Compatibilidad con los criterios de la ISO
27001.
2. Idioma del mtodo.
3. Posibilidad de herramientas de software.
4. Documentacin, formacin, apoyo.
5. Facilidad de uso .
6. Costo de utilizacin.
7. Existencia de material de comparacin
(mtricas, estudios, casos, etc.).
FASE II Planificacin
Redaccin de la Declaracin de
Aplicabilidad
Plan de Capacitacin
1. Definir
las
necesidades
de
capacitacin.
2. Diseo
y
planificacin
de
la
capacitacin.
3. Provisin de la capacitacin.
4. Evaluacin de los resultados de la
capacitacin.
Plan de Capacitacin
Plan de Capacitacin
La gran diferencia entre la formacin y la
concientizacin es que la capacitacin
tiene
por
objeto
proporcionar
los
conocimientos para permitir que la
persona ejerza sus funciones mientras
que el objetivo de concientizar es centrar
la atencin en un inters individual o una
serie de asuntos sobre la seguridad.
Plan de Comunicacin
1. Determinar qu queremos conseguir, cules son
nuestros objetivos.
2. Decidir a quin vamos a dirigir nuestra
comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos
(cunto).
5. Seleccionar los medios apropiados y su
frecuencia de utilizacin.
6. Ejecutar el plan de medios y medir su impacto.
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
FASE IV Revisin 82
Monitoreo Objetivos de la
Medicin
Los objetivos de la medicin en el marco de un
sistema de gestin incluyen:
Evaluacin de la eficacia de los procesos y
procedimientos implementados;
Verificacin de la medida en que los requisitos
identificados de la norma se han cumplido.
Facilitar la mejora del rendimiento;
Aportar para la revisin de la gestin para facilitar
la toma de decisiones y justificar las mejoras que
necesita el sistema de gestin implementado.
Gestin de Incidentes
1. Asegurarse de que los eventos de seguridad son
detectados e identificados.
2. Educar a los usuarios acerca de los factores de riesgo
que podran causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma ms
adecuada y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la
organizacin.
FASE V Consolidacin
Auditoria Interna
1. Crear el programa de auditora interna
2. Designar al responsable.
3. Establecer la independencia, objetividad
e imparcialidad.
4. Planificacin de las actividades.
5. Asignar y administrar los recursos del
programa de auditora.
6. Crear procedimientos de auditora.
7. Realizar actividades de auditora.
8. Seguimiento de no conformidades.
Tratamiento de Problemas y no
Conformidades
Definir un proceso para resolver
problemas y no conformidades.
Definir un procedimiento de accin
correctiva.
Definir un procedimiento de accin
preventiva.
Elaborar Planes de Accin.
FASE VI Certificacin
Definiciones de la Certificacin
Organismo de Certificacin:
Terceros que realizan la evaluacin de
la conformidad de los sistemas de
gestin.
Certificacin: Procedimiento en el
cual un tercero garantiza por escrito
que un producto, proceso o servicio
es conforme a las condiciones
indicadas
Proceso de Certificacin
1. Seleccin de la entidad certificadora.
2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el
diseo del SGSI.
4. Etapa 2 de la auditoria, se lleva a cabo
en la empresa.
5. Auditoria de seguimiento, si tuviera no
conformidades.
6. Confirmacin de la inscripcin.
Preguntas