Norma 27001

Modelo par establecer, implementar ,

operar, monitorear, revisar, mantener
y mejorar ISMS (information security
management system)

Pero, qu es ISO?

Organizacin Internacional de Normalizacin

ISO, nacida tras la Segunda Guerra

Mundial(23 de febrero de 1947), es
el organismo encargado de promover
el desarrollo de normas
internacionales de fabricacin (tanto
de productos como de servicios),
comercio y comunicacin para todas
las ramas industriales.

Algunas normas ISO

ISO 16 : Frecuencia de afinacin
estndar 440 Hz.
ISO 732: Formato decarrete de
120.
ISO
838:
Estndar
para
perforadoras de papel (contando
medidas y navajas).

Algunas normas ISO

ISO 8601: Representacin del tiempo y
la
fecha
(adoptado
en
Internet
mediante
elDate
and
Time
FormatsdeW3Cque utilizaUTC).
ISO/IEC 20000: Tecnologa de la
informacin, Gestin del servicio.
(corresponde
a
la
normaBS15000:2002).
ISO 22000: Inocuidad en alimentos.

Familia ISO
27000

Familia ISO 27000

ISO/IEC 27000: es un vocabulario
estndar para SGSI
ISO/IEC 27002:Es cdigo de buenas
prcticas para la gestin de
seguridad de la informacin.
ISO/IEC 27003: directrices para la
implementacin de la norma ISO
27001.

Familia ISO 27000

ISO/IEC 27004: son mtricas
para la gestin de seguridad
de la informacin. Es la que
proporciona recomendaciones
de quin, cundo y cmo
realizar
mediciones
de
seguridad de la informacin.

Familia ISO 27000

ISO/IEC 27005: trata la gestin de
riesgos en seguridad de la
informacin. Es la que proporciona
recomendaciones y lineamientos
de
mtodos
y
tcnicas
de
evaluacin
de
riesgos
de
Seguridad en la Informacin, en
soporte del proceso de gestin de
riesgos de la norma ISO/IEC 27001.

Familia ISO 27000

ISO/IEC 27006: Requisitos para la
acreditacin de las organizaciones
que proporcionan la certificacin de
los sistemas de gestin de la
seguridad de la informacin.
ISO/IEC 27007: Es una gua para
auditar al SGSI.

Familia ISO 27000

ISO/IEC 27799:2008 - Es una gua para
implementar ISO/IEC 27002 en la industria
de la salud.
ISO/IEC 27035:2011 -Seguridad de la
informacin Tcnicas de Seguridad
Gestin de Incidentes de Seguridad.
Este standard hace foco en las actividades
de: deteccin, reporte y evaluacin de
incidentes de seguridad y sus
vulnerabilidades.

Norma 27001

Definicin:
ISO
27001es
una
norma
internacional emitida por la
Organizacin Internacional de
Normalizacin (ISO) y describe
cmo gestionar la seguridad de
la informacin en una empresa.

Para cumplir la misin

de:
Contribuir a mejorar la calidad de
vida, el bienestar y la seguridad de
las personas
Promover el uso racional de los
recursos y la actividad creativa
Facilitar la produccin, el comercio y
la transferencia de conocimientos

como se logra la seguridad de

la informacion?
La seguridad de informacin se logra
mediante la implementacin de un
acuerdo conjunto de controles.
Se
necesita
establecer
estos
controles para asegurar que se
cumplan los objetivos especificos de
seguridad de la organizacin

Sistema de gestion de
riesgos

Objetivos a cumplir
Objetivos corporativos de negocio
Objetivos corporativos de TI
Objetivos de seguridad
El
problemade
la
seguridad
informaticaesta
en
su
gerencionamiento
y
no
en
las
tecnologias disponibles

INFORMACION
definiciones, tipos
La informacion es un recurso que,
como el resto de los importantes
activos, tiene valor para una
organizacion y por consiguiente debe
ser debidamente protegida

Efectos de las amenazas y

ataques

Interrupcion de actividades
Dificultades para tomas de decisiones
Sanciones
Costos excesivos
Prdida o cdescontruccion de activos
Desventaja competitiva
Insatisfaccion de usuario(perdida
imagen)

de

Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data
Analysis (CAIDA)
CERT
SANS

Fraude por Computador

Utilizar un computador para obtener

beneficio personal o causar dao a
los dems.
Dada la proliferacin de las redes y del
personal con conocimientos en sistemas,
se espera un incremento en la frecuencia
y en la cantidad de prdidas.
Se especula que muy pocos fraudes por
computador son detectados y una menor
porcin es reportada.

De Quin nos
Defendemos?
Gente de adentro: Empleados o
personas allegadas.
Anti gobernistas: Razones obvias
para
justificar un ataque.
Un cracker que busca algo en
especfico: Es problemtico pues suele
ser un atacante determinado. Puede
estar buscando un punto de salto.

Efectos de las Amenazas y

los Ataques
Interrupcin de actividades
Dificultades para toma de decisiones
Sanciones
Costos excesivos
Prdida o destruccin de activos
Desventaja competitiva
Insatisfaccin del usuario (prdida de
imagen)

Que informacin
proteger?
En
formato
electronico/magnetico/optico
En forma impreso
En el conocimiento de las personas

De que debo ser protegido?

Sus datos
Confidencialidad
Integridad
Disponibilidad

Sus Recursos
Su organizacin, su tecnologa
y sus sistemas

 Cmo se logra la seguridad de

la informacin ?

La seguridad de informacin se logra mediante la

implementacin de un adecuado conjunto de
controles, los que podran ser:
Polticas, prcticas, procedimientos,
estructuras
organizacionales y funciones de software.
Se necesita establecer estos controles para
asegurar que se cumplan los objetivos especficos
de seguridad de la organizacin.

Seguridad de la
informacin

Que es la seguridad de la
informacin?
Es la preservacin de:
-Confidencialidad: asegurar que la
informacin
sea accesible slo para quellos
usuarios autorizados para tener acceso.
-Integridad: salvaguardar que la informacin.
Y los mtodos de procesamiento sean exactos y
completos
-Disponibilidad: asegurar que los usuarios
autorizados tengan acceso a la informacion y
bienes asociados cuando lo requieran .

Objetivos de la
seguridad
- Ataques de seguridad :
cualquier accion que compromete la seguridad de la
informacion perteneciente a la organizacion
- Mecanismos de seguridad:
Es un mecanismo diseado para detectar prevenir y/o
recuperar frente a un ataque a la seguridad.
- Prestaciones de seguridad:
Es un servicio de un sistema de procesamiento de datos
y de la informacion que transfiere la organizacion. El
servicio enfrenta los ataques a la seguridad utilizando
para poder hacerlo, uno o
mas mecanismos de
seguridad

SGSI: Sistema de Gestin de Seguridad de la informacion

Qu es? Forma sistemtica de administrar

la
informacin sensible.
Cmo? Gestionando los riesgos
Para qu? Proteger la informacin:
Confidencialidad Integridad Disponibilidad
A quines abarca? Personas, Procesos y
Tecnologa

Modelo SGSI

Objetivos del SGSI

Implementacin de un programa de
Seguridad
Comprensivo.
Adaptado a la Cultura de la
organizacin.
Que Proteja la informacin sensible
de las
Amenazas.

Objetivos de Seguridad
Tres componentes a tener en cuenta para la seguridad
1) Ataques a la seguridad:
Cualquier accin que compromete la seguridad de la
informacin perteneciente a la organizacin.
2) Mecanismos de seguridad:
Es un mecanismo diseado para detectar, prevenir y/o
recuperar frente a un ataque a la seguridad.
3) Prestacin de seguridad:
Es un servicio que mejora la seguridad de un sistema de
procesamiento de datos y de la informacin que transfiere la
organizacin. El servicio enfrenta los ataques a la seguridad
utilizando para poder hacerlo, uno o ms mecanismos de
seguridad.

Requisitos para comenzarexiste

alguno???

COMPROMISO Y
RESPALDO DE
LA DIRECCION

SGSI: El Proceso de
Implementacin

SGSI: El Proceso de
Implementacin

SGSI: El Proceso de certificacin

Conclusin
No hay calidad de gestion sin
seguridad de la informacion
que procesan los sistemas de la
informacin que dan soporte a
la gestin.

IRAM_ISO 27001_en_Chile.pdf Adobe Reader