Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO-27000
QU ES LA INFORMACIN?
Motor
La
Academia
Latinoamericana
de
Seguridad Informtica (2.004) destaca al
respecto que la informacin es el objeto
de mayor valor para las empresas.
Platos
Cabeza
lectora
SEGURIDAD DE LA INFORMACIN
Maiwald (2005)
Marco Regulatorio
Ley Orgnica de Proteccin de Datos (LOPD)
Regula a nivel legal una parte importante de los Sistemas de
Informacin de la empresa, los datos de carcter personal.
SEGURIDAD DE LA INFORMACIN
Los datos de carcter personal son un subconjunto del activo ms
importante que Maneja una empresa:
Planes estratgicos,
salario del personal,
operaciones financieras
Empleados, pacientes,
clientes
SEGURIDAD DE LA INFORMACIN
Los objetivos principales de la serie 27000 son la proteccin de la
informacin en sus diversas dimensiones, garantizando la:
Confidencialidad
Integridad
Disponibilidad
ISO27001: Requerimientos
del SGSI
SEGURIDAD DE LA INFORMACIN
En las normas ISO 27001, el concepto del sistema de gestin es comn
estableciendo sinergia y un marco de actuacin estructural y
documental. Este sistema de gestin est compuesto por:
Manual de
Calidad y
Seguridad
Procesos/
Procedimientos
Operativos
Generales
Registros de
Calidad y
Seguridad
Instrucciones
de Trabajo
Especficas
SEGURIDAD DE LA INFORMACIN
En las normas ISO 27001, el concepto del sistema de gestin es
comn estableciendo sinergia y un marco de actuacin estructural y
documental. Este sistema de gestin est compuesto por:
MANUAL DE SEGURIDAD
PROCEDIMIENTOS
REGISTROS
SISTEMA DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el
concepto central sobre el que se construye ISO 27001
DATOS
INFORMACIN
Aprovechan
AMENAZAS
VULNERABILIDAD
Protegen de
Exponen
Aumentan
Aumentan
Disminuyen
ACTIVOS
RIESGOS
CONTROLES
Aumentan
Marcan
Impactan si se
materializan
Imponen
REQUERIMIENTOS
DE
SEGURIDAD
Tienen
VALOR
DE LOS
ACTIVOS
EVOLUCIN DE LA NORMATIVA
ISO 27000
BSI (British Standards Institution): Organizacin britnica responsable de la
publicacin de importantes normas como:
1979 Publicacin BS 5750 ahora ISO 9001
1992 Publicacin BS
7750 - ahora ISO
14001
1996 Publicacin BS
8800 - ahora OHSAS
18001
1995
BS 7799 Parte 1
Cdigo de
Buenas
Octubre 2005
Prcticas
ISO/IEC 27001
1998
Parte 2
BS 7799 Parte 2
se adopta
Especificacin
como ISO
del SGSI
Junio 2005
ISO/IEC
17799: 2000
Revisin de
ISO 17999
HISTORIA
DE ISO
27001
1999
BS 7799-1 1999
BS 7799-2 1999
Revolucin de
las partes
1y2
2000
2002
ISO/IEC 17799:2000
BS 7799-2: 2002 Parte 1 se adopta
Revisin de la
como ISO
parte 2
EVOLUCIN DE LA NORMATIVA
ISO 27000
2012
ISO/IEC 27010: 2012
ISO/IEC 27013: 2012
ISO/IEC TR 27015: 2012
2011
ISO/IEC 27035: 2011
ISO/IEC 27031: 2011
ISO/IEC 27005: 2011
ISO/IEC 27006: 2011
ISO/IEC 27007: 2011
ISO/IEC TR 27008: 2011
ISO/IEC 27034: 2011
2010
ISO/IEC 27003: 2010
2009
ISO/IEC 27031: 2009
ISO/IEC 27004: 2009
ISO/IEC 27033: 2009
2008
ISO/IEC 27005: 2008
ISO/IEC 27011: 2008
ISO/IEC 27799: 2008
2007
ISO/IEC 27002: 2005
ISO/IEC 27006: 2007
EVOLUCIN DE LA NORMATIVA
ISO 27000
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000
ISO/IEC
27001
Puntos clave: Gestin
de riesgos + Mejora
continua
EVOLUCIN DE LA NORMATIVA
ISO 27000
ISO/IEC 27011: gua de
gestin de seguridad de la
informacin especfica para
telecomunicaciones
EVOLUCIN
EVOLUCIN DE LA NORMATIVA
ISO 27000
Diagrama de relacin de la reorganizacin de las clusulas principales
de la versin 2005 a la publicada en 2013
NUEVA
ISO 27001: 2013
Mantenimiento,
evaluacin y
planes de mejora
Estudio de
situacin actual
en aspectos
de seguridad
SGSI
Comprobar la
efectividad de
las medidas
implantadas
Implantacin de
medidas de
seguridad
ISO 27001
Norma que especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto global de los riesgos de
negocio de la organizacin. Especifica los requisitos para la
implantacin de los controles de seguridad hechos a medida de
las necesidades de organizaciones individuales o partes de las
mismas
Objetivo:
Mejora
continua
Se adopta el
modelo Plan-DoCheck-Act (PDCA
ciclo de Deming)
para todos los
procesos de la
organizacin
ISO 27001
PLANIFICAR
(Creacin del SGSI
HACER
(Implementacin y operacin del SGSI
ISO 27001
Evaluar y, en su caso, medir el
rendimiento del proceso contra la
poltica, los objetivos y la
experiencia prctica del SGSI, e
informar de los resultados a la
direccin para su revisin
VERIFICAR
(Supervisin y revisin del SGSI
ACTUAR
Mantenimiento y mejora del SGSI
VENTAJAS
Garantizar la confidencialidad,
integridad y disponibilidad
de informacin sensible
Aumentar la competitividad
y mejorar la imagen
corporativa
Reducir la incertidumbre
por el conocimiento de
los riesgos e impactos
Incremetar la confianza de
los stakeholders
Mejorar continuamente la
gestin de la seguridad
de la informacin
Aumentar la rentabilidad
derivada del control de
los riesgos
VENTAJAS
Posibilidad de integracin
con otros sistemas de
gestin como ISO 9001,
ISO14001, OHSAS 18001
entre otros
Mejorar la implicacin y
participacin del
personal en la gestin
de la seguridad
Aumentar la competitividad
por mejora de la imagen
corporativa
DEFINICIN DE POLTICAS,
ORGANIZACIN Y ALCANCES
Primero:
El alcance del sistema
Segundo:
Las Polticas de seguridad
aseguir
Tercero:
La organizacin de la seguridad
Cuarto:
Programas de concienciacin y
formacin del personal
POLTICAS DE SEGURIDAD
Tras la definicin del alcance, el siguiente paso es establecer la Poltica de Seguridad
POLTICAS DE SEGURIDAD
En funcin a las responsabilidades se decidir quin est autorizado a acceder a qu
tipo de informacin
ORGANIZACIN DE LA SEGURIDAD
La organizacin de la seguridad es otro aspecto de immportnacia durante el diseo
del SGSI
1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas
responsabilidades
Responsable de seguridad. Comit de Direccin. Comit de Gestin
3
4
3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los
despachos, en estos casos es posible firmar acuerdos de confidencialidad
4. La ltima fase del diseo del SGSI es la concienciacin y formacin del personal
con el fin de crear una cultura de seguridad
ALCANCES
ALCANCES
Clusula 4.3 En esta clusula aparecen 5 especificaciones :
5
El alcance, con todas las caractersticas debe
estar documentado.
44
Se debe considerar, las interfaces y dependencias
entre las actividades de la organizacin y las que
realizan otras organizaciones (proveedores).
COMPATIBILIDAD
"ISO 27001 est diseada para ser compatible con otras normas de gestin como: