Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asclases Vi Ntp-Iso Iec 27001
Asclases Vi Ntp-Iso Iec 27001
INFORMATICA
ISO 27001
Agenda
1: Principios fundamentales de la Seguridad
de la Informacin
2: Estndar y Marco Normativo
3: Implementacin de la Norma ISO 27001
Seccin
Principios fundamentales de la
Seguridad de la Informacin
Nota:
11
12
13
14
Amenazas
Una Amenaza es la posibilidad de
ocurrencia de cualquier tipo de evento o
accin que puede producir un dao
(material o inmaterial) sobre los
Elementos de Informacin.
15
Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza
16
17
Informacin
Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y
por lo tanto causar dao a la organizacin
Probabilidad
de
Ocurrencia
Consecuencia
(Impacto)
Riesgo
18
Impacto y la Probabilidad
Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin
Control
Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la informacin.
Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.
21
Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).
22
Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
23
24
Seccin
25
Qu es ISO?
ISO es una red de organismos nacionales de
estandarizacin de mas de 160 pases.
Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Se han publicado mas de 19,000 normas desde 1947
26
Principios
Bsicos de las
Normas ISO
CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
29
30
31
32
33
34
Vocabulario
ISO 27000
Industria
Generalidades
Requisitos
ISO 27000
Vocabulario
ISO 27001
Requisitos del
SGSI
ISO 27002
Cdigo buenas
practicas
ISO 27011
Telecomunicaciones
ISO 27003
Gua de
Implementacin
ISO 27799
Salud
ISO 27004
Mtricas
ISO 27009
Requisitos organizacin
certificadora
ISO 27005
Gestin de
Riesgos
ISO 27007-27008
Guas de Auditoria
ISO 270XX
Vocabulario
35
38
Historia de la Norma
ISO 27001
39
Clausula 4
Contexto de la
organizacin
ISO 27001
Clausula 5
Planificacin
Clausula 10
Mejora
Clausula 7
Soporte
Clausula 8
Funcionamiento
Clausula 9
Evaluacin del
desempeo
Clausula 5
Liderazgo
40
Seccin
41
PROCESO
SALIDA
42
1. Creacin
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
43
Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos
La organizacin puede ser
certificada en esta norma
44
45
Compromiso de la direccin
Planificacin
Fechas
Responsables
Implantar mejoras
Acciones correctivas
Acciones Preventivas
Comprobar eficacia de las
acciones
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos
46
Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos
48
FASE I Organizacin
49
Institucional
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Proteccin de Procesos de Negocio
3. Disminucin de incidentes
4. Ordenamiento de su negocio
51
CGSI
COSI
COMIT DE GESTION DE
SEGURIDAD DE LA
INFORMACION
COMIT TCNICO DE
SEGURIDAD DE LA
INFORMACION
AREAS FUNCIONALES
OSI
ROLES
OFICIAL DE SEGURIDAD DE
LA INFORMACION
SI
RESPONSABLE SEGURIDAD
INFORMATICA
SF
RESPONSABLE SEGURIDAD
FISICA
52
54
del SGSI
Se debe definir en funcin de caractersticas
del negocio, organizacin, localizacin, activos
y tecnologa, definir el alcance y los lmites del
SGSI (el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable
empezar por un alcance limitado)
55
del SGSI
Definir los limites de la organizacin.
Definir los limites de los sistemas de informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.
Extensin del mbito de aplicacin.
Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado
56
Poltica de
Seguridad
POLITICA GENERALES
DE ALTO NIVEL
POLITICA
DETALLADAS
Poltica de
Seguridad de
la Informacin
Poltica sobre
control de
acceso
Poltica del
SGSI
Poltica sobre
criptografa
Poltica de
gestin de
incidentes
58
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60
Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
61
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del mtodo
3. Posibilidad de herramientas de software
4. Documentacin, formacin, apoyo.
5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)
62
FASE II Planificacin
63
65
ESCALA
1
2
3
4
5
VALORACION
Muy Alto (MA)
Alto (A)
Medio (M)
Bajo (B)
Muy Bajo (MB)
66
Anlisis de Riesgos
Anlisis de los riesgos:
Evaluar el dao resultante de un fallo de seguridad
(es decir, que una amenaza explote una
vulnerabilidad) y la probabilidad de ocurrencia del
fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable (en funcin de
los niveles definidos previamente) o requiere
tratamiento.
67
68
Plan de
Tratamiento de Riesgos
70
70
Redaccin de la Declaracin de
Aplicabilidad
71
72
73
74
75
77
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos.
rea 4: Seguridad relacionada con los recursos humanos.
rea 10: Gestin de la continuidad del negocio .
Seguridad
Organizativa
Seguridad
Lgica
Seguridad
Fsica
Seguridad
Legal
79
FASE IV Revisin
80
81
Monitoreo
Tableros de Mando
84
FASE V Consolidacin
86
87
90
no Conformidades
Definir un proceso para resolver problemas y no
conformidades.
Definir un procedimiento de accin correctiva.
Definir un procedimiento de accin preventiva.
Elaborar Planes de Accin.
89
FASE VI Certificacin
90
Organismo de Certificacin:
Terceros que realizan la evaluacin
conformidad de los sistemas de gestin.
de
la
Certificacin:
Procedimiento en el cual un tercero garantiza por
escrito que un producto, proceso o servicio es
conforme a las condiciones indicadas
91
92
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe