Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO27001 2013 Resumen PDF
ISO27001 2013 Resumen PDF
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 1
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 2
AGENDA
I. Qu es la ISO?
II. La nueva estructura ISO 27001:2013.
III. Nuevos conceptos.
IV. La ISO 27002:2013.
V. Conclusiones
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 3
I. Qu es la ISO?
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 4
La ISO y sus principios de gestin
Es una federacin mundial de organismos nacionales de
normalizacin alrededor de 160 pases, trabajan a nivel de
Comits Tcnicos, tienen al menos 19,000 estndares
publicados desde 1947 (creacin), 1951 (publicacin).
(Source: iso.org)
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 6
La ISO y como nace la ISO 27001:2013
Causas:
Los estandres ISO se revisan cada 4 o 5 aos.
Los controles de la ISO 27002 muchos son obsoletos.
La necesidad de integrar los sistemas de gestin (Anexo SL, PAS 99).
Historia:
El proyecto nace con la aprobacin de un articulo en el New Work
Item (NWI) el 19 de mayo 2009.
Lo primeros 3 borradores de trabajo conservan la estructura de 1ra
edicin.
La estructura comn y el texto bsico actual aplican al draft 4 en
oposicin de varios organismos nacionales.
El 2012-02-15 el Consejo de Gestin Tcnica de ISO (TMB) decidi que
la norma ISO 27001 tiene que seguir la nueva estructura, unificado,
pero que las desviaciones justificadas se admiten.
La alianza para elevar el nivel de abstraccin se logr
La alianza para dejar caer la Declaracin de aplicabilidad fall.
Los intentos para matar el proyecto hasta el final fracasaron.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 7
II. La nueva estructura de la ISO 27001:2013
ISO/IEC ISO/IEC
1998 BS 7779-2 2002 BS-7799-1 2005 27001:2005 2013 27001:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 8
ANEXO SL
Fuente Anexo SL
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 9
ISO 27001:2005 Y LA 27001:2013
1. Introduccin 1. Introduccin
2. Objeto 2. Objeto
3. Referencias Normativas 3. Referencias Normativas
4. Sistema de Gestin de la
4. Contexto de la Organizacin
Seguridad de la Informacin
4.1 General 5. Liderazgo
4.2 SGSI
4.2.1 Establecer 6. Planificacin
4.2.2 Implementar y Operar
4.2.3 Monitorear y Revisar
7. Soporte
4.2.4 Mantener y Mejorar
4.3 Documentar
8. Operacin
5. Responsabilidad de la Direccin
9. Evaluacin del desempeo
6. Auditora Interna
7. Revisin de la Direccin 10. Mejora
8. Mejora
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 10
VENTAJAS Y DESVENTAJAS
VENTAJAS DESVENTAJAS
Facilita la integracin de los sistemas de Es una abstraccin y es un nivel alto, no
gestin, debido a que es una estructura es tan detallado.
de alto nivel, donde los trminos y
definiciones ayudan a implementar.
Todas las definiciones vienen del Los requisitos son un tanto mas difcil
estndar ISO 27000 y las para interpretar, debido a los nuevos
inconsistencias se han removido. conceptos.
Los riesgos en la seguridad de la No se menciona el enfoque PDCA.
informacin en su conjunto deben ser
abordados.
Los documentos requeridos estn No se menciona las polticas del SGSI.
claramente establecidos, hace
referencia al tamao y complejidad.
Menciona que las acciones preventivas No hay una descripcin detallada de la
no van. identificacin del riesgo.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 11
ALGUNOS DATOS
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 12
NUEVOS REQUERIMIENTOS
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 13
III. Nuevos conceptos
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 14
Qu es Informacin?
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 15
Qu es Seguridad de la Informacin?
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 16
ACTIVOS
Activo
Activo de
Activo Primario
Soporte
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 17
PARTES INTERESADAS
ISO 27001:2013 Clausula 4.2
Entendiendo las necesidades y expectativas de las partes
interesadas
a) las partes interesadas que son relevantes para el
sistema de gestin de seguridad de la informacin, y
b) los requisitos de estas partes interesadas pertinentes a
la seguridad de la informacin.
Los servicios de
La informacin de
Mis contribuyentes limpieza publica,
Los procesos que esos procesos debe
requieren que les infraestructura
soportan esos ser confiable,
brinde buenos urbana, parque y
servicios deben ser integra y disponible
servicios en el jardines y seguridad
mejorados para las tomas de
municipio ciudadana tienen
decisiones
que ser de calidad
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 18
RIESGOS
ISO 27001:2013 Clausula 6.1.2 Evaluacin de los riesgos de
la seguridad de la informacin.
c) identifica los riesgos de seguridad de la informacin:
1) aplicar el proceso de evaluacin de riesgos de seguridad de informacin
para identificar los riesgos asociados a la prdida de la confidencialidad,
integridad y disponibilidad de la informacin en el mbito del sistema de
gestin de la seguridad de informacin, y
2) identificar a los propietarios de los riesgos;
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 19
LIDERAZGO
ISO 27001:2013 Clausula 5.3 Roles de organizacin,
responsabilidades y autoridades
La alta direccin debe asegurarse de que las responsabilidades y autoridades
para las funciones pertinentes a la seguridad de informacin se asignen y se
comuniquen.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 20
IV. La ISO 27002:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 21
ISO 27002:2005 Y LA ISO 27002:2013
5. Poltica de Seguridad de la Informacin 5. Poltica de Seguridad de la Informacin
6. Organizacin de la Seguridad de la Informacin 6. Organizacin de la Seguridad de la Informacin
8. Seguridad de los Recursos Humanos 7. Seguridad de los Recursos Humanos
7. Gestin de activos 8. Gestin de activos
11. Control de acceso 9. Control de acceso
10. Criptografa
9. Seguridad fsica y del entorno 11. Seguridad fsica y del entorno
12. Seguridad en la operaciones
10. Gestin de comunicaciones y operaciones
13. Seguridad de las comunicaciones
12. Adquisicin, desarrollo y mantenimiento en 14. Adquisicin, desarrollo y mantenimiento
sistemas de informacin de los sistemas
15. Relacin con los proveedores
13. Gestin de incidentes de S.I. 16. Gestin de incidentes de S.I.
14. Gestin de continuidad de negocio 17. Los aspectos de la S.I. en la G.C.N.
15. Cumplimiento 18. Cumplimiento
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 22
ISO 27002:2005 Y LA ISO 27002:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 23
ISO 27002:2005 Y LA ISO 27002:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 24
V. Conclusiones
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 25
CONCLUSIONES
Se nos viene un gran reto en la gestin de la seguridad de la informacin con
la nueva ISO 27001:2013
Los conceptos que debemos reforzar: Partes interesadas, Liderazgo,
Sensibilizacin, Comunicacin, Capacidades, Propietario del riesgo, Activos,
Gestin de Riesgos y Oportunidades, entre otros.
Se tiene un ao para las empresas certificadas en adaptar este nueva versin
de la ISO 27001:2013
La ISO 27003, 27004 y 27005 deben asumir nuevos roles bajo la ptica de la
ISO 27001:2013
La ISO 27002:2013 tiene menos controles en cantidad y en mtodo hay
menos controles tecnolgicos, adicionalmente se cuentan con polticas de
control mas claras.
Las empresas que han realizado el esfuerzo de implementar la ISO
27001:2005, deben tomar estrategias para alinear su implementacin a la ISO
27001:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer 26
Muchas Gracias
por su atencin!
Ing. Manuel Collazos Balaguer
MASTER IMPLEMENTADOR Y
AUDITOR LIDER ISO 27001,
AUDITOR LIDER BS 25999
IMPLEMENTADOR LIDER ISO 22301
manuel.collazos@prime.pe
Calles Las Begonias 52839 Lince. Lima Per.
Central: (511) 222-1249
Directo: (511) 222-1249
Fax: (511) 273-2501
Celular: (511) 998-117-438
www.prime.pe
www.capacitacionprime.pe
27