Ing.

Eduardo Cancino

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Risk Response Plan and Organize Business Continuity Management Internal Environment Physical and Environmental Security Organizational Security Service Delivery / Support Security Policy Asset Classification and Control

Security Management Control Activities Personnel Security Information and Communications Acquire and Implement

ITIL
Monitoring Communications and Operations Management Define and Support

COSO
Objective Setting Systems Development and Maintenance ICT Infrastructure Management Event Identification

ISO17799
Planning to Implement Service Management Access Control

COBiT
Application Management

Compliance Monitor and Support Business Perspective

Risk Assessment

Metodologas
Orientada a Procesos Orientada a Productos

ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3

Orientada a Controles Controle

Common Criteria
Orientada al Anlisis de Riesgos

OCTAVE Magerit
Orientada a la Buenas Prcticas

ISO 13335-4 BSI-ITPM

ISO/EIC 17799:2005 Cobit ISF-SGP

Qu es la ISO/IEC 27000?

Es un conjunto de estndares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin, utilizable para cualquier tipo de organizacin.

Para qu se utiliza?

Establecer una metodologa de gestin de la seguridad clara y estructurada. Reducir el riesgo de prdida o robo de informacin. Dar confianza a los clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Dar la posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001,). Dar una imagen de la empresa a nivel internacional. Reducir los costes y mejorar los procesos y servicios. Aumentar la motivacin y satisfaccin del personal.

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Publicaciones desde el 1901 (BSI equivalente a AENOR en Espaa)

1979 Publicacin BS 5750 ahora ISO 9001 1992 Publicacin BS 7750 ahora ISO 14001 1995 Publicacin BS 7799 ahora ISO 27001 1996 Publicacin BS 8800 ahora ISO 18001

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Recorrido por este estndar:

ISO 27000: contiene conceptos tcnicos y de gestin. ISO 27001: requisitos del sistema de gestin de la seguridad de la informacin. ISO 27002: objetivos de control y controles recomendables. ISO 27003: gua de implementacin de SGSI y modelo PDCA. ISO 27004: mtricas y tcnicas de medida en SGSI. ISO 27005: directrices para la gestin de riesgo. ISO 27006: requisitos para la acreditacin de entidades de auditora. ISO 27007, 27011, 27031, 27032, 27033, 27034, 27799. EN GENERAL, CADA UNA SE ENCARGA DE UN OBJETIVO RELACIONADO CON LA SEGURIDAD DE L A INFORMACION.

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

El documento se divide en fases:

Introduccin. Objeto y campo de aplicacin. Normas para consulta. Trminos y definiciones. Sistema de gestin de la seguridad de la informacin. Responsabilidad de la direccin. Auditoras internas del SGSI. Revisin del SGSI por la direccin. Mejora del SGSI.

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Pasos a seguir:

Para esta adaptacin existe un proceso:

Arranque del proyecto:

Estableciendo el alcance del SGSI Formulando las polticas de SGSI y Seguridad de Informacin Ejecutando la valoracin de riesgos Tomando decisiones en el tratamiento de riesgos

Plan:
Estableciendo el alcance del SGSI Formulando las polticas de SGSI y Seguridad de Informacin Ejecutando la valoracin de riesgos Tomando decisiones en el tratamiento de riesgos

Do:
Creando e Implantando el Plan de Tratamiento de Riesgos Implementado los controles Capacitacin y sensibilizacin Implementando un programa de manejo de incidentes de seguridad de informacin Administrando recursos

Check:
Monitoreo
Chequeo rutinario Self-policing procedures

Revisiones
Haciendo Auditorias internas del SGSI Ejecutando revisiones administrativas

Midiendo el SGSI Analizando tendencias Controlando documentacin y registros

Act:
Implementando mejoras Identificando noconformidades Identificando e implementado acciones preventivas y correctivas Asegurando mejora continua. Probando Comunicando cambios y mejoras

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

Exceso de tiempos de implantacin. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Falta de comunicacin de los progresos al personal de la organizacin

Introduccin a la ISO 27000 Origen La serie 27000 Descripcin de sus elementos Cmo adaptarse? Riesgos Factores de xito Bibliografa

La concienciacin del empleado por la seguridad. Realizacin de comits de direccin con descubrimiento continuo de no conformidades. Creacin de un sistema de gestin de incidencias. La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad debe ser inherente a los procesos de informacin y del negocio.

http://www.iso27000.es http://www.google.es http://www.gavab.es/wiki/ai/ http://www.aenor.es/ http://www.icontec.org.co http://www.ivac.es/ http://www.consoltic.com/es/