ISO 27001

SISTEMAS DE GESTIN DE LA
SEGURIDAD DE LA
INFORMACIN

ISO 27001
Base de datos
INTEGRANTES: JOSUE ARCOS POSTIGO
EDWIN GONZLES ALE
REYNITA VELAZQUEZ
LEONEL CONDORI

ISO 27001
Es un conjunto de datos acerca de algn suceso,
hecho, fenmeno o situacin, que organizados en
un contexto determinado tienen un significado y
que tiene el propsito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos:
Capital Humano
Impresa o escrita en papel
Dispositivos de almacenamiento (Discos,
CDs, etc)
Oral (telfono, mvil, etc.)
Video, fotos

Qu es Informacin?
ISO 27001
La Informacin en las Empresas
Dentro de una Empresa, la informacin es
considerada un Activo (un recurso) que tiene
valor o utilidad para sus operaciones
comerciales y su continuidad. Por esta razn,
esta informacin necesita tener proteccin
para asegurar una correcta operacin del
negocio y una continuidad en sus
operaciones.
ISO 27001
La Informacin en las Empresas
Estos activos pueden ser clasificados de la siguiente
forma:
Activos de Informacin (datos, manuales de usuario, etc.)
Documentos en Papel (contratos)
Activos de software (aplicacin, software de sistema, etc.)
Activos fsicos (computadores, medios magnticos, etc.)
Personal (clientes, trabajadores)
Imagen y reputacin de la organizacin
Servicios (comunicaciones, etc.)
ISO 27001

Confidencialidad
Integridad
Disponibilidad de la
informacin

La seguridad de informacin se caracteriza por la
preservacin de:
Qu es seguridad de la
Informacin?
ISO 27001

Identificacin de Amenazas
Tipos de Amenazas
Amenazas a
Instalaciones
Amenazas
Sociales
ISO 27001

Vulnerabilidades
Tipos de Vulnerabilidades
Seguridad de los
recursos humanos
Seguridad fsica y
ambiental
C
o
n
t
r
o
l

d
e

A
c
c
e
s
o

ISO 27001
Seguridad de la Informacin
SGSI

ISO 27001

Seguridad de la Informacin ?
La informacin es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
proteccin adecuada.
La informacin puede estar:
Impresa o escrita en papel.
Almacenada electrnicamente.
Trasmitida por correo o medios electrnicos
Mostrada en filmes.
Hablada en conversacin.

Debe protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparte o almacene.
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
La informacin es un activo que, como otros
activos comerciales importantes, tiene valor para
la organizacin y, en consecuencia, necesita ser
protegido adecuadamente.
Un Sistema de Gestin de Seguridad de
Informacin (SGSI) es un sistema gerencial
general basado en un enfoque de riesgos para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
informacin
ISO 27001
1
Planificar
3
Revisar
4
Actuar
2
Hacer
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
ISO 27001


3
Revisar
4
Actuar
2
Hacer
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Planificar.
Definir el enfoque de evaluacin del riesgo de
la organizacin.
Establecer metodologa de clculo del riesgo.
Establecer criterios de aceptacin del riesgo y
niveles de aceptacin del mismo.
Identificar los riesgos asociados al alcance
establecido.
Analizar y evaluar los riesgos encontrados.
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Planificar.
Identificar y evaluar las opciones de tratamiento de los
riesgos.
Aplicar controles.
Aceptarlo de acuerdo a los criterios de aceptacin.
Evitarlo.
Transferirlo.
Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
Obtener la aprobacin de la gerencia para los riesgos
residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.
ISO 27001
1
Planificar
3
Revisar
4
Actuar
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
2
Hacer
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medicin de la efectividad de los
controles a travs de indicadores de gestin.
Implementar programas de capacitacin.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de deteccin y
respuesta a incidentes de seguridad.
ISO 27001
1
Planificar
4
Actuar
2
Hacer
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
3
Revisar
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Revisar.
Procedimientos de monitoreo y revisin para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
Determinar efectividad de las acciones correctivas
tomadas para resolver una violacin de seguridad.
Realizar revisiones peridicas.
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Revisar.
Medicin de la efectividad de los controles.
Revisar las evaluaciones del riesgo peridicamente y
revisar el nivel de riesgo residual aceptable.
Realizar auditoras internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de resultados
del monitoreo.
Registrar las acciones y eventos con impacto sobre el
SGSI.
ISO 27001
1
Planificar
3
Revisar
2
Hacer
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
4
Actuar
ISO 27001
Gestin Seguridad Informacin
ISO-27001:2005. Modelo Preventivo
Actuar.
Implementar las mejoras identificadas en el
SGSI.
Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
Comunicar los resultados y acciones a las
partes interesadas.
Asegurar que las mejoras logren sus objetivos
sealados.
ISO 27001
Seguridad de la Informacin
SGSI

ISO 27001
Mantenimiento y mejora del SGSI (Act)
Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisin de la direccin, para lograr la
mejora continua del SGSI.

Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el
ciclo en cuestin (preventivas y correctivas).

Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
ISO 27001
Estructura de la Documentacin Requerida
Nivel IV
Nivel I
Nivel III
Nivel II
Enfoque de la Gerencia
Poltica, Alcance,
Evaluacin Riesgo
Manual de
Seguridad
Descripcin de
procesos,
Quin hace qu y
cundo
Procedimientos
Describe tareas
especficas y cmo se
realizan
Instrucciones de
Trabajo
Provee evidencia
objetiva de la
conformidad con SGSI
Registros
ISO 27001
Factores Claves de xito en la
Implementacin de un SGSI
Poltica de seguridad documentada y
alineada con los objetivos del negocio.
Apoyo y participacin visible de la alta
gerencia.
Entendimiento de los requerimientos de
seguridad, evaluacin y gestin de los
riesgos asociados.
Compatibilidad con la cultura
organizacional.
Entrenamiento y educacin.
ISO 27001
Conclusiones
Hoy en da las organizaciones
dependen en gran medida de su
tecnologa y sus activos de
informacin.
Por lo anterior, impera una proteccin
adecuada a las informaciones
importantes.
Seguridad no es un producto, es un
proceso que debe ser administrado.

ISO 27001
Conclusiones
Nada es esttico, la seguridad no es la
excepcin. Mejora continua.
Seguridad total no existe, pero s existe
la garanta de calidad en un proceso de
seguridad.
ISO 27001
MUCHAS
GRACIAS POR SU
ATENCIN