Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Junio de 2008
Tipos de informacin
Ciclo de la informacin
Genera-Captura Procesamiento Transferencia Almacenamiento Disposicin
Importancia de la informacin
Activo vital en una organizacin. Me da una ventaja competitiva Permite mantener la operatividad de la empresa Asociada al flujo de efectivo y rentabilidad de la empresa Permite cumplir requerimientos legales y contractuales Me permite proyectar una imagen pblica y comercial
Seguridad de la Informacin
Es la preservacin de la:
Confidencialidad
Acceden quienes estn autorizados
Integridad
Es precisa, confiable y completa
Disponibilidad
Est disponible cuando se necesita
7
Hacer Seleccionar, implementar y operar los controles para tratar los riesgos
Activos
Informacin Procesos Servicios Software Hardware Infraestructura Personal Imagen, etc.
10
Impacto al Negocio:
Financiero Legal Contractual Pblico Cliente Personal
Acceso no autorizado
Personal Molesto:
Empleado temporal enva email al DG de la compaa desde la cuenta de su gerente
Activos
Terrorismo
RIESGO
11
Ejercicio
Explotan
en g e ot Pr tra n co
en ta
Au m
Impacto Potencial al Negocio
Au m
en
ta n
Ex
po ne n
Reducen
Sa t po isfe r ch os
Expuestos a
ca n Indi
Aum
ent a
en n e Ti
Requerimientos de Seguridad
Vulnerabilidades
fin De
Riesgos Amenazas
12
ISO27001: Historia
1990 El Departamento de comercio e industria del Reino Unido apoy su desarrollo 1995 Por primera vez se adopta como norma inglesa (BSI) 1998 Se lanzan los requisitos para su certificacin 1999 Se emite una segunda edicin de la norma 2000 Fu aprobada como la parte 1 de ISO17799 2002 BS7799-2 se public el 5 de septiembre: en esta revisin se adopt el modelo de proceso con el fin de alinearla con ISO9001 e ISO14001 2004 A finales del 2004, cerca de 950 compaas se haban certificado en BS 7799-2 2005 Se publica ISO/IEC17799:2005 en Junio y la ISO27001:2005 en Octubre. 2007 Se publica ISO27002:2005 (se renombra ISO/IEC17799:2005) 2007 Se publica ISO27006:2007, requisitos para org. certificadores
14
ISO27001: Futuro
ISO27000 Trminos y Definiciones ISO27001 Requisitos (Certificable) (BS7799-2) ISO27002 Cdigo de Prctica (ISO/IEC 17799:2005 BS7799-1:2005) ISO27003 Gua de Implementacin ISO27004 Mtricas y Mediciones ISO27005 Gua para la Gestin de Riesgos de Seguridad de la Informacin (BS7799-3:2006)Gua de Implementacin ISO27006 Requisitos para los organismos que certifican y registran un SGSI (ISO27001). ISO27007 Gua de Auditora para un SGSI (ISO19011) ISO27008 Gua para la Gestin de la Continuidad del Negocio (BS25999-1:2006 Business Continuity Guide) ISO27009 Telecomunicaciones ISO27010 Industria Automotriz
15
Partes interesadas
Hacer Hacer
Requisitos de seguridad de la informacin y expectativas
Implementar Implementar yyoperar operarel el SGSI SGSI
Actuar Actuar
Mantener Manteneryy mejorar mejorarel el SGSI SGSI
Checar Checar
Monitorear Monitorearyy controlar controlarel el SGSI SGSI
16
Planear
Establecer el SGSI:
1. 2. 3. 4. 5. 6. 7. Definir el alcance del SGSI Definir una poltica para el SGSI Definir la metodologa de evaluacin de riesgos Criterio de aceptacin de riesgos Identificar los riesgos Analizar y evaluar los riesgos Identificar y evaluar opciones para el tratamiento de los riesgos 8. Seleccionar objetivos de control y controles 9. Obtener aprobacin gerencial de los riesgos residuales 10.Obtener aprobacin gerencial del SGSI 11.Preparar el Documento de Aplicabilidad (SOA vs Anexo A)
17
Hacer
Implementar y operar el SGSI.
1. 2. 3. 4. 5. 6. 7. 8. Formular el Plan de Tratamiento de Riesgos Implementar el Plan de Tratamiento de Riesgos Implementar los controles seleccionados Definir como medir la eficacia de los controles Implementar un plan de entrenamiento y sensibilizacin Gestionar las operaciones del SGSI Gestionar los recursos SGSI Implementar procedimientos para detectar/responder a eventos e incidentes de seguridad
18
Checar
Monitorear y Revisar el SGSI
1. 2. 3. 4. 5. 6. 7. 8. Ejecutar procedimientos de monitoreo y revisin Efectuar revisiones regulares de la eficacia del SGSI Medir la eficacia de los controles Revisar, de acuerdo a un plan, la evaluacin de riesgos, el nivel de riesgos residuales y aceptables, considerando los cambios en el ambiente. Conducir auditoras internas del SGSI de acuerdo a un plan Revisin peridica por la direccin Actualizar planes de seguridad en funcin de las actividades de monitoreo y revisin Registrar acciones y eventos que afecten la eficacia del SGSI.
19
Actuar
Mantener y Mejorar el SGSI.
1. Implementar las mejoras identificadas 2. Tomar acciones preventivas/correctivas. Aplicar lecciones aprendidas 3. Comunicar los resultados a las partes interesadas 4. Asegurar que las mejoras logran los objetivos esperados.
20
ISO27001:2005 Estructura
0. Introduccin 1. Alcance 2. Normas de referencia 3. Trminos y definiciones 4. Sistema de Gestin de Seguridad de la Informacin 5. Responsabilidad de la Direccin 6. Auditoras Internas del SGSI 7. Revisin Gerencial del SGSI 8. Mejora del SGSI Anexo A. Objetivos de Control y Controles 11 Clusulas, 39 objetivos de control y 133 controles Anexo B. Principios de la OCDE y este estndar internacional Anexo C. Correspondencia entre ISO9001:2000, ISO14001:2004 y este estndar internacional
21
Documentacin SGSI
1.Poltica y objetivos del SGSI 2.Alcance del SGSI 3.Procedimientos y controles en soporte al SGSI 4.Descripcin de la metodologa de Evaluacin de Riesgos 5.Reporte de la Evaluacin de Riesgos 6.Plan de Tratamiento de Riesgos 7.Procedimientos documentados de la organizacin para la efectiva planeacin, operacin y control de los procesos de seguridad de la informacin y de la forma de medir la eficacia de los controles. 8.Registros requeridos por el estndar 9.Documento de aplicabilidad (SOA)
22
Documentacin SGSI
Procedimientos documentados requeridos: 1.Control de Documentos 2.Control de Registros (recomendado) 3.Auditoras Internas 4.Acciones Correctivas 5.Acciones Preventivas
23
Organizacin
Control de Acceso
25