Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001 v011 PDF
ISO 27001 v011 PDF
2
Seccin 1
Principios fundamentales de la
Seguridad de la Informacin
3
Qu es Seguridad?
4
Informacin y Activo
5
Activo de Informacin
6
Tipos de Activos de
Informacin
Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los dems
activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles
7
Documento - Registro
8
Seguridad de la Informacin
Nota: Por otra parte, tambin pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
9
Seguridad de la Informacin
10
Confidencialidad
11
Integridad
12
Disponibilidad
13
Anlisis de Riesgos
Vulnerabilidad
14
Anlisis de Riesgos
Amenazas
15
Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza
16
Impacto
17
Riesgo para la Seguridad de la
Informacin
Probabilidad Consecuencia
de (Impacto) Riesgo
Ocurrencia
18
El Riesgo en funcin del
Impacto y la Probabilidad
zona 1 riesgos muy probables
y de muy alto impacto
zona 2 franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
zona 3 riesgos improbables y
de bajo impacto
zona 4 riesgos improbables
pero de muy alto impacto
19
Objetivo de Control y Control
Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin
Control
Mtodos para gestionar a riesgo
Incluye las polticas, procedimientos, directrices y
prcticas o estructuras organizativas
Sinnimo: medida, contra medida, dispositivo de
seguridad
20
Tipos de Controles
Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la informacin.
Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.
21
Tipos de Controles
Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).
22
Tipos de Controles
Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestin de Riesgos
24
Seccin 2
25
Qu es ISO?
26
Principios
Bsicos de las Normas ISO
Principios
3. Orientacin al negocio: ISO slo desarrolla
Bsicos de las normas para las que existe demanda del mercado
Normas ISO
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
28
Los Sistemas de Gestin se Integran
SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001
29
Qu es un SGSI?
31
Enfoque a Procesos
32
Ciclo de Deming
33
Ciclo de Deming
34
Familia
ISO 27000
Vocabulario
ISO 27000
Vocabulario
Requisitos
35
ISO 27001
36
ISO 27002
38
Historia de la Norma
ISO 27001
39
Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin
Clausula 5
Planificacin
Clausula 10 Clausula 8
Mejora Funcionamiento
Clausula 9
Evaluacin del
Clausula 7 desempeo Clausula 5
Soporte Liderazgo
40
Seccin 3
41
Enfoque a Procesos
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
43
ISO 30301
Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos
44
La implantacin de un Sistema de
Gestin de Seguridad de la Informacin es
una decisin estratgica
que debe involucrar a toda la organizacin y
que debe ser apoyada y
dirigida desde la direccin
45
Etapas
Ciclo de Deming
Definir alcance del SGSI
Definir Poltica de Seguridad
Compromiso de la direccin Metodologa de evaluacin de
Planificacin riesgos.
Fechas Inventarios de activos
Responsables Identificar amenazas y
vulnerabilidades
Identificar Impactos
Anlisis y evaluacin de riesgos
Seleccin de controles y SOA
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos 46
Iniciando el SGSI
Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos
48
FASE I Organizacin
49
Fase I Organizacin
3. Disminucin de incidentes
4. Ordenamiento de su negocio
51
Organizacin de la Seguridad
CGSI COSI
COMIT DE GESTION DE COMIT TCNICO DE
SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACION INFORMACION
AREAS FUNCIONALES
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
ROLES
SI SF
RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD
INFORMATICA FISICA
52
Comit Gestin
55
Determinar el Alcance
del SGSI
Cambios en el alcance.
56
Determinar el Alcance
del SGSI
57
Determinar la Declaracin de Poltica de
Seguridad de la Informacin y Objetivos
Debe tener el marco general y los objetivos de seguridad de la
informacin de la organizacin
58
Tipos de Poltica
POLITICA
Poltica sobre Poltica de
Poltica sobre
DETALLADAS control de gestin de
criptografa
acceso incidentes
59
Estructura de una Poltica
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60
Determinar Criterios para la
Evaluacin y Aceptacin de Riesgos
Se debe definir una metodologa de evaluacin de
riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.
Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
62
Factores en la Seleccin
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del mtodo
3. Posibilidad de herramientas de software
4. Documentacin, formacin, apoyo.
5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)
63
FASE II Planificacin
64
Desarrollar las actividades de planificacin requeridas por la
norma de manera metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del alcance del mismo.
65
Realizar Evaluacin de Riesgos
Inventario de Activos
66
Realizar Evaluacin de Riesgos
Inventario de Activos
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB) 67
Realizar Evaluacin de Riesgos
Anlisis de Riesgos
68
Realizar Evaluacin de Riesgos
Anlisis de Riesgos
69
Plan de
Tratamiento de Riesgos
70
Seleccin de Controles y SOA
71
Redaccin de la Declaracin de
Aplicabilidad
72
FASE III Despliegue
73
Desplegar las actividades de implementacin del SGSI
74
Plan de Trabajo del SGSI
75
Plan de Capacitacin
3. Provisin de la capacitacin
76
Plan de Capacitacin
77
Plan de Capacitacin
78
Plan de Comunicacin
79
Plan de Comunicacin
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
Controles de la ISO 17799
ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos. Seguridad
rea 4: Seguridad relacionada con los recursos humanos. Organizativa
rea 10: Gestin de la continuidad del negocio .
81
FASE IV Revisin
82
Realizar actividades de revisin del SGSI evidenciando
el cumplimiento de los requisitos de la norma
83
Monitoreo
Determinar los Objetivos de la Medicin
La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu
es lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar
el enfoque de una organizacin y
desenfocar lo que es verdaderamente
importante
84
Monitoreo
Objetivos de la Medicin
86
Gestin de Incidentes
88
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma
89
Auditoria Interna
90
Tratamiento de Problemas y
no Conformidades
91
FASE VI Certificacin
92
Definiciones de la Certificacin
93
Proceso de Certificacin
2. Auditoria de Pre-evaluacin.
6. Confirmacin de la inscripcin.
94
Preguntas
95
Contactos
96
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe