Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iram Iso 27001 en Chile
Iram Iso 27001 en Chile
Noviembre 2010
CERTIFICACIN
de Productos
d Sistemas
de
Si t
de
d G
Gestin
ti
FORMACIN
FORMACIN DE RR
RR.HH.
HH
CENTRO DE DOCUMENTACIN
250.000 Documentos Tcnicos
RELACIONES
INSTITUCIONALES
ESTADO
SECTORES INDUSTRIALES
UNIVERSIDADES
SECTORES CIENTFICO TCNICOS
CONSUMIDORES
ISO
27001
Servicios
ISO 20000-1
P
Procesos
Competisoft //
ISO 15504
Productos
ISO 14598 con
ISO 9126
Proceso de
Liberacin
Gestin de la
liberacin
Gestin de niveles de
servicio
Elaboracin
Elaboracin de informes
del servicio
Procesos de Control
Gestin de la
configuracin
Gestin de cambios
Procesos de
Resolucin
Gestin de incidentes
Gestin de problemas
Gestin de la seguridad
de la informacin
Elaboracin del
presupuesto y
gestin de costos
Procesos de
Relaciones
Gestin
Gestin de relaciones
con clientes
Gestin
Gestin de proveedores
Informacin
Definicin, Tipos
La informacin es un recurso que, como el
resto de los importantes activos,
activos tiene valor
para una organizacin y por consiguiente
debe ser debidamente protegida.
Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer
C
S
Security
Institute
Cooperative Association for Internet Data
Analysis (CAIDA)
CERT
SANS
De qu nos defendemos?
Fraude
Extorsin
Robo de Informacin
Robo de servicios
Actos terroristas
Reto de penetrar un sistema
Deterioro
Desastres Naturales
Interrupcin de actividades
Dificultades para toma de decisiones
Sanciones
Costos excesivos
Prdida o destruccin de activos
Desventaja competitiva
Insatisfaccin del usuario (prdida de imagen)
Qu Informacin proteger ?
Informacin
en formato electrnico / magntico / ptico
en formato impreso
e
en e
el co
conocimiento
oc e to de las
as pe
personas
so as
Sus Recursos
Su organizacin,
organizacin su tecnologa y sus sistemas
Qu es la seguridad de la
informacin?
La seguridad
L
id d de
d informacin
i f
i se caracteriza
t i como la
l
preservacin de la:
Confidencialidad: asegurar que la informacin
sea accesible slo para aquellos usuarios
autorizados para tener acceso
Integridad: salvaguardar que la informacin y
los mtodos de p
procesamiento sean exactos y
completos
Disponibilidad: asegurar que los usuarios
autorizados tengan acceso a la informacin y
bienes asociados cuando lo requieran
Cmo se logra
g
la seguridad
g
de
la informacin ?
La seguridad de informacin se logra mediante la
Se
S necesita
it establecer
t bl
estos
t controles
t l para
Seguridad de la informacin
RIESGOS O AMENAZAS
Actos de la naturaleza
Fraudes
VULNERABILIDADES
Errores y omisiones
Dao intencional
Invasin a la privacidad
CONSECUENCIAS
RIESGO
PERDIDA ESPERADA
Sistema de g
gestin de riesgos
g
Objetivos a cumplir
Objetivos corporativos de negocio
Objetivos corporativos de TI
Objetivos
O
j
os de
d Seguridad
gu d d
Informtica
El problema de la Seguridad Informtica est
en su Gerenciamiento y no en las
tecnologas disponibles
ORIGEN: BS 7799
Norma
Define requisitos para un Sistema de
Gestin de
g
de la Informacin ((ISMS).
)
Seguridad
Comprende 10 secciones
Compuesta por 2 partes:
Parte 1: Controles
Parte 2: ISMS - Certificacin
ISO 27001:2005
Actualizacin de BS 7799 bajo los lineamientos de
ISO, se cre ISO 27001
El nombre oficial del nuevo estndar es:
BS 7799-2:2005 (ISO/IEC 27001:2005) Information
Technology - Security Techniques Information
Security Management - Systems Requirements.
Cambios con respecto a BS 7799-2: por ejemplo
requiere la definicin de los mecanismos de
medi in de la
medicin
l efectividad
efe ti id d de los
lo controles.
ont ole
Modelo SGSI
Modelo SGSI
Objetivos
j
del SGSI
Implementacin de un programa de Seguridad
Comprensivo
Adaptado a la Cultura de la organizacin
Que Proteja la informacin sensible de las
amenazas
Objetivos de Seguridad
Tres componentes a tener en cuenta para la seguridad
1) Ataques a la seguridad:
Cualquier accin que compromete la seguridad de la
informacin perteneciente a la organizacin.
2) Mecanismos de seguridad:
Es un mecanismo diseado para detectar, prevenir y/o
recuperar frente a un ataque a la seguridad.
3) Prestacin de seguridad:
Es un servicio que mejora la seguridad de un sistema de
procesamiento de datos y de la informacin que transfiere la
organizacin.
El servicio enfrenta
f
los ataques a la seguridad
utilizando para poder hacerlo, uno o ms mecanismos de
seguridad.
Antes de comenzar.
Requisitos para comenzarexiste alguno???
COMPROMISO Y RESPALDO DE
LA DIRECCION
El Proceso de Implementacin - SGSI
La clave de la implementacin es:
Comunicacin y Entrenamiento
Considerar documentacin
El Proceso de Certificacin
Propuesta
p
de p
plan del PMG en el SGSI
A realizar por IRAM
Chile
Auditora de
Verificacin Fase 3
A realizar por
funcionarios
Implementacin Fase 1
ESTABLECER el SGSI
(s/6 dominios)
Asesoramiento sobre
acciones correctivas
Fase 1
Implementacin Fase 2
IMPLEMENTAR el SGSI
(s/6 dominios)
Asesoramiento sobre
acciones correctivas
Fase 2
Implementacin Fase 3
Seguimiento y Revisin
de SGSI (s/6 dominios)
Asesoramiento sobre
acciones correctivas
Fase 3
Preparacin para
Certificacin
35
PREGUNTAS
Y
COMENTARIOS