Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de la Informacin
Introduccin
Conceptos bsicos sobre seguridad de la informacin
Gestin de riesgos (ISO 27001 / 27005 - ISO 31000)
Avance al interior del SENA
Introduccin
Panorama actual
4
Panorama actual
Panorama actual
8
Panorama actual
Tendencias del mercado
Estndares y buenas prcticas adoptadas:
9
Conceptos bsicos
Gestin en Seguridad de la Informacin
Gestin en Seguridad de la
Informacin
Confidencialidad
Personas
Tecnologa
Integridad Informacin Procesos
Infraestructura
Polticas y normas
Disponibilidad Estndares
Buenas prcticas
Regulaciones
Requerimientos
Modelo PHVA ISO 27001
Alcance
Planear
Acciones
Poltica Establecer Correctivas y
Partes Evaluacin de el SGSI Preventivas Partes
Interesadas Riesgos
Prep. SOA Interesadas
Hacer Act.
Implementar y Mantener y
Operar el SGSI Mejorar el SGSI
Requerimientos
Gestin
y expectativas
de Seguridad
de Seguridad
de la
de la Monitorear Informacin
Informacin el SGSI
Verificar
Tratamiento de Auditorias Int.
Riesgos - Controles Revisin Dir.
Entrenamiento Informes
Gest. Incidentes
Gestin de Riesgos
Vulnerabilidades
Activos de
Amenazas Informacin
Alto Implementar
Controles
Tratamiento Anexo A
Medio - Alto ISO 27001
de Riesgos &
Medio ISO 27002
Nivel de Riesgo
Aceptable
Bajo - Medio
Aceptar Riesgos
Bajo
Nivel superior
Dominios
11
A.7
Dominio
Gestin de activos
Es parte de la toma de
decisiones Valoracin del riesgo (5.4)
Diseo del marco
Aborda explcitamente de referencia para
la incertidumbre la gestin del riesgo Identificacin del
Es transparente e Monitoreo y
inclusiva revisin del marco
(V) Tratamiento del riesgo
Es dinmica, reiterativa (5.5)
y receptiva al cambio
Facilita la mejora y
realza a la organizacin
ISO 27005
ISO 31000 Proceso
Proceso ESTABLECIMIENTO
DEL CONTEXTO
ACEPTACIN DEL
RIESGO
Avance al interior del SENA
Avance
Seleccione el activo
TIPO DE ACTIVO
Gestin de Formacin
Sistema de Informacin Sofia Plus
Profesional Integral
Gestin de Formacin
Documentacin Acto Acadmico
Profesional Integral
ACTIVOS
GRUPO DE ACTIVO TIPOS DE ACTIVOS DE INFORMACIN
INFORMACIN
Ba s e s de Da tos
Docume nta ci n
SOFTWARE
Si s te ma s de I nforma ci n
HARDWARE
Se rvi dore s y Equi pos de Computo
Me di os de Al ma ce na mi e nto Re movi bl e
Otros Se rvi ci os
Ofi ci na s
Archi vo
INTANGIBLE
I ma ge n y re puta ci n
I de a s / Conoci mi e nto
Identificacin de las amenazas y vulnerabilidades
Cdigo Uso no
malicioso Arquitectur controlado
Dao a insegura
accidental de la red
Hurto o Relojes no
Catalogo de sincronizados
robo
amenazas y
vulnerabilidades
Probabilidad
Riesgo Inherente
Impacto
Identificacin y calificacin del control
ANEXO A
NTC-ISO
27001
CONTROL EXISTENTE
Calificar el
control
Procedimiento de backups A10.5.1
de causas o
el 70% de causas o
10% de las causas o
demostrado ser
En el tiempo que
Manual (5)
No documentado (0)
Documentado (5)
impactos (5)
Correctivo (5)
Automtico (20)
Divulgado (20)
Preventivo (20)
impactos (10)
efectiva (20)
lleva el control ha
Cubre mas del 70%
Cubre entre el 11% y
EVALUACIN
CONTROL
Qu controles existen 70 20 20 0 10 20
actualmente?
55 20 5 5 5 20
Valoracin del riesgo
Operacional
Regulatorio/Legal