Sie sind auf Seite 1von 25

NORMA ISO / IEC 27001

MSC.FABIO HURTADO AGUILAR


Docente

“Cada fracaso enseña al hombre algo que


necesitaba aprender.”
Charles Dickens

ADMINISTRACION DE SISTEMAS DE INFORMACIO


ISO 27000

ISO 27001
REQUERIMIENTOS

ISO 27003 ISO 27005


IMPLEMENTACIÓN GESTION RIESGOS

ISO 27002 ISO 27004 ISO 27007


BUENAS PRÁCTICAS MÉTRICAS AUDITORIA

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

Datos • Suceso
• Hechos
• Situación
Información • Fenómenos
• Elementos
Organizados
Propósito • Reducir incertidumbre
En una empresa
• Incrementar conocimiento

Activo Operaciones
Valor
Utilidad comerciales

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


SEGURIDAD DE LA INFORMACIÓN

Medidas preventivas y correctivas para velar por los siguientes aspectos de la


Información:

Confidencialidad

Integridad

Disponibilidad

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


OBJETIVOS
• Establecer
Requisitos • Implementar
• Monitorear
• Mejorar

• Valoración
• Tratamiento

Genéricos • Todas las organizaciones


• Independiente • Tamaño
• Naturaleza

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
INFORMACIÓN A PROTEGER
• Clientes (CRM)
• Recursos humanos
• Producción
• Productos
• Procesos
• Ventas
• Bases de datos

La información como cualquier otro activo tiene un valor y


debe sr protegida.
Puede presentarse en diferente formas: • Impresa
• En mail
• Micro films
• Medio magnético
• Videos

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
REQUISITOS DE LA NORMA

Requisitos a cumplir Información documentada

• Contexto organizacional Líneas generales


de actualización
• Liderazgo Políticas
• Planificación
• Soporte
• Documentos de
Operación
procesos
• Evaluación de desempeño Procesos
• Mejoras

Registro de
Evidencias actividades

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


CONOCER LA ORGANIZACIÓN

 Objetivos del negocio


 Cuestiones • Externas • Favorecen
• Internas • Perjudican
 SGSI Alineada a los objetivos estratégicos del negocio
 Factores internos • Recursos financieros
• Recursos humanos
• Recursos físicos

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


CONOCER LA ORGANIZACIÓN

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


CONOCER LA ORGANIZACIÓN
Factores externos • Aspectos políticos
• Culturales
• Socioeconómicos

• Proveedores
• Usuarios
Partes
• Competidores
interesadas
• Organismos reguladores
• Legislación

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


DEFINICIÓN DEL ALCANCE DEL SGSI

Procesos que actuara el SGSI


Determinar límites
No necesariamente toda la empresa
Recursos que se disponen
Limitarlo • Procesos
IMPORTANTES
• Servicios

Considerar: • Cuestiones internas y externas


• Interesados
• Interfaces
• Dependencias

EL ALCANCE DEBE ESTAR EN DOCUMENTO DISPONIBLE

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ESTABLECIMIENTO Y GESTIÓN DEL SGSI
Liderazgo

Compromiso de la alta dirección


• Recursos Económicos
Humanos
• Establecer políticas y objetivos de la seguridad de la información
• Asegurar que los requisitos de seguridad se integren a los procesos
• Proporcionando los recursos
• Comunicar la importancia
• Asegurando que el sistema de seguridad consiga los resultados
• Dirigir y apoyar el personal
• Promover la mejora continua
• Apoyar los otros roles.

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ESTABLECIMIENTO Y GESTIÓN DEL SGSI
Politicas
La alta dirección define políticas:

• Adecuada a la organización
• Incluya seguridad de la información
• Marco de referencia para objetivos de la seguridad
• Compromiso de cumplir los requisitos
• Compromiso de mejora continua

La información de política de seguridad debe:

• Estar disponible como información documentada


• Comunicarse en la empresa
• Estar disponible para las partes interesadas

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ESTABLECIMIENTO Y GESTIÓN DEL SGSI
Roles - responsabilidades

• Quien es y que debe hacer


• Asegurar que se cumplan los requisitos
• Mantener informado
• Informar los diferentes niveles jerárquicos

• Considerar
• Responsable de seguridad • Coordine actividades en seguridad
• Reporte a la dirección
Seguridad se basa en:
• Objetivos
• Necesidades del negocio

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


PLANIFICACIÓN
Alcance del SGSI
Definir políticas Implementar SGSI
Riesgos Gestión riesgos
Auditorias - ctrls Planificar Def. indicadores
Mantener
Hacer Implementar Ctrls
Optimizar Establecer
SGSI el SGSI

Actuar PHVA
r i ficar
Monitorear Ve
Medir desempeño SGSI Implementar
Acciones preventivas SGSI Análisis de riesgos
Acciones correctivas Validar auditorias
Definir indicadores

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


PLANIFICACIÓN

• Definir el alcance del SGSI (fronteras)


• Definir una política de seguridad
• Identificar activos
• Realizar el análisis de riesgos de activos.
• Identificar las áreas débiles de los activo
• Tomar decisiones para manejar el riesgo
• Seleccionar los controles apropiados
• Implementar y manejar los controles
seleccionados
• Elaborar la declaración de aplicabilidad

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
NORMATIVA APLICADA ISO 27002:2013

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


Aplicación Normas ISO 27002:2013

Política de seguridad Seguridad física y ambiental Seguridad en las Relaciones con


telecomunicaciones suministradores

Aspectos de seguridad de la
Aspectos organizativos de la
información en la gestión de la
seguridad de la información Gestión de activos Control de acceso (4)
continuidad del negocio

Adquisición, desarrollo y
Seguridad ligada a los recursos Gestión de incidentes en la mantenimiento de sistemas de
información Seguridad en la operatividad
humanos seguridad de la información

Cumplimiento
Cifrado

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


IDENTIFICACION DE AMENAZAS

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


IMPACTO

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN


ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN

Das könnte Ihnen auch gefallen