Beruflich Dokumente
Kultur Dokumente
SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)
1
Temario del Curso
Conceptos fundamentales.
Seguridad de la informacin.
Normas aplicables.
Factores de xito.
Anexos
Trminos.
Caso
2
Conceptos Fundamentales
3
Informacin a Proteger
4
Riesgos?
5
Amenazas
Escalamiento de privilegios
Password cracking
Fraudes informticos Puertos vulnerables abiertos Exploits
Man in the middle
Violacin de la privacidad de los empleados
Spamming
Intercepcin y modificacin y violacin de e-mails
Violacin de contraseas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniera social
Mails annimos con agresiones
Programas bomba, troyanos
Interrupcin de los servicios Destruccin de soportes documentales
Acceso clandestino a redes Robo o extravo de notebooks, palms
Propiedad de la informacin
Acceso indebido a documentos impresos
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
Falsificacin de informacin wireless
Agujeros de seguridad de redes conectadas
7 para terceros
Vulnerabilidades Comunes
8
Seguridad de la Informacin
9
Seguridad de la Informacin ?
10
Seguridad de la Informacin ?
11
Normas Internacionalmente reconocidas
Reconocimiento internacional
12
Normas aplicables
ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO
14
Cmo establecer los requisitos?
15
Las normas ISO/IEC 17799, ISO/IEC 27001?
Quien es quien?
16
Origen de la normativa
10 reas de Control
36 Objetivos de Control
127 Controles
18
ISO/IEC 27001 ISO/IEC 17799?
ISO/IEC 27001.
Basada en la BS 7799:2
Versiones actuales:
ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
19
ISO/IEC 17799:2000
10 reas de Control
Poltica de Seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de los activos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad
20
ISO/IEC 17799:2005
11 reas de Control
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
21
Certificados BS 7799-2 / ISO/IEC 27001
UNIT 17799:2
BS 7799 - 2
(2005)
23
Nuevas Versiones ISO/IEC
ISO/IEC ISO/IEC
BSI
ISO/IEC 27001
BS 7799 - 2
(2005)
24
SGSI - Modelo P-H-V-A
25
SGSI
Incluye.
Estructura, polticas, actividades, responsabilidades, prcticas,
procedimientos, procesos y recueros.
26
(Planificar /Hacer /Verificar /Actuar)
PlanificarEstablecer Mantener y
Actuar
el SGSI Mejorar el SGSI
Partes Partes
Interesadas Interesadas
Implementar y Monitorear
operar el SGSI el SGSI
Requisitos y Seguridad
expectativas Gestionada
Hacer Verificar
27
(Planificar /Hacer /Verificar /Actuar)
28
Establecer el SGSI (Plan)
29
Establecer el SGSI (Plan)
30
Implementar y operar (Do)
31
Implementar y operar (Do)
32
Monitoreo y Revisin (Check)
33
Monitoreo y Revisin (Check)
34
Mantenimiento y mejora del SGSI (Act)
35
Documentacin del SGSI
PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las actividades
EXIGIDOS POR LA
NORMA
37
Objetivos de auditoria
38
Certificacin del SGSI
39
Certificacin del SGSI
En cada Pas
Actualmente en proceso de homologacin por las instituciones locales.
Opciones:
(Ej. Uruguay) UNIT/ISO/IEC 27001:2006
(Ej. Espaa) AENOR UNE 71502
ISO/IEC 27001.
Internacionalmente
El ms amplio reconocimiento.
Ampliamente reconocida a nivel profesional.
Estndar de la industria.
Requerida por importantes empresas a sus Proveedores.
40
Finalizando
41
Comencemos el proceso
42
Comencemos el camino.
Sea conciente de los riesgos que estn asociados a una accin o recurso.
43
Comentario Finales
Preguntas?
Consultas
reynaldo@datasec-soft.com
44