ISO 27002

Por : Juan Jose Jurko P.

 Generan todos los requisitos
necesarios para poder implementar
un Sistema de gestion de seguridad
de la información de manera correcta
ISO 27001

Resguardar Activos
 Es una técnica de los activos de la
organización y la forma en la que estos se
deben gestionar y proteger adecuadamente.

5. POLÍTICAS ISO 17799

DE
SEGURIDAD
Objetivo Principal: Proteger prevenir y
Gestionar los daños que los activos de
información tengan.
• El contenido de las políticas se basa en el contexto en el
que opera una organización y suelen ser considerados
en su redacción los fines y objetivos de la organización,
las estrategias adoptadas para alcanzar sus objetivos, la
estructura y los procesos adoptados por la organización,
los objetivos generales y específicos relacionados con el
tema de la política y requisitos de las políticas
procedentes de niveles más superiores.
Antes de que se produzcan ataques

Luego de un ataque

Antes de una auditoria

Al iniciar la organización
Edición

1 2 3
Cambio en la Cambio en el Requerimiento
Tecnología Negocio especial de un
implementada cliente
 Altos Costos

Porque Proveedor de SO

tiende a
Falta de Políticas para desarrolladores
fallar?
Fisico=Virtual
 Minimiza los Daños

Reducción de Costos

Se reduce la sobrestimación y desestimación de

Ventajas riesgos

Se cumple con la legislación vigente

Mejora la Competitividad en el mercado

 Resumen
Introducción
Ámbito de aplicación
Objetivos
Estructura
Principios
Responsabilidades
Resultados clave
Políticas relacionadas
ACTIVIDADES
• Políticas para la seguridad de la información
DE CONTROL • Revisión de las políticas para la seguridad de la
DE RIESGO información
 Uber

Casos

Eset Movistar
 Ayudas

GESCONSULTOR Plantillas SANS Directorio BIS

6. Aspectos Establecer la administración de la
Organizativos seguridad de la información, como
parte fundamental de los objetivos
Seguridad de la y actividades de la organización.
información
 ORGANIZACIÓN INTERNA

El órgano de dirección debería

La gerencia debería establecer de
forma clara las líneas de la política
de actuación.
aprobar la política de seguridad de
la información, asignar los roles de
seguridad y coordinar y revisar la
implantación de la seguridad en
toda la Organización.
 Definir y Asignar

Segregar Tareas
Organización
Interna Contacto con las
autoridades

Contacto con grupos de

interés especial
 DISPOSITIVOS • En el uso de la informática móvil deberían
considerarse los riesgos de trabajar en entornos
PARA MOVILIDAD desprotegidos y aplicar la protección
conveniente.
Y TELETRABAJO • Política de uso de dispositivos para movilidad
• Teletrabajo
 CCN

Ayudas CNI

SPICEWORKS
14. Aquisición,
desarrollo y • El objetivo es asegurar la inclusión de
controles de seguridad y validación de
Mantenimiento datos en la adquisición y el desarrollo
de los sistemas de de los sistemas de información.
información
 Análisis y especificación de los
requisitos de seguridad

Seguridad de las comunicaciones

Requisitos en servicios accesibles por redes
públicas
Protección de las transacciones por
redes telemáticas
 Procedimientos de
Política de desarrollo
control de cambios
seguro de software
en los sistemas

Seguridad
en los Restricciones a los Revisión técnica de

procesos de cambios en los

paquetes de
software
las aplicaciones tras
efectuar cambios en
el sistema operativo
desarrollo y
soporte
Uso de principios de
ingeniería en Pruebas de
protección de aceptación
sistemas
Datos de prueba

Para proteger los datos de

Se debería evitar la exposición prueba se deberían establecer
de datos sensibles en normas y procedimientos que
entornos de prueba. contemplen prohibir el uso de
bases de datos operativas.
 BSI

Casos Microsoft

Applipedia