Nextel PDF

ISO 27001: El estándar de seguridad de la información
Índice
• Introducción
• Metodología de un SGSI según ISO 27001
• Cambios / mejoras en ISO 27001
• A.6 Mejoras en las relaciones con terceras partes
• A.8 Mejoras en el control de las personas
• A.13 Mejoras en el registro de incidentes / debilidades
• A.14 Mejoras en la gestión de continuidad de negocio
• Beneficios de implantación de un SGSI
• Conclusiones
Introducción
Incidentes de seguridad: Quien es quien
Otros
30 % Incidentes seguridad externos
Incidentes
Virus
Externos
Incidentes seguridad internos

70 %
Incidentes
internos
Errores de usuario
Introducción
Impacto de incidentes de seguridad en el negocio:

Introducción
AUDITORÍAS
MANTENIMIENTO
SISTEMA GESTIÓN
F
O
R
M
Your
DE LA SEGURIDAD
Network
DE LA INFORMACIÓN SNOC
A
C
I (SGSI)
Ó
N
ISO 27001
HERRAMIENTAS LOPD / LSSI

Introducción
BS 7799 / ISO 27001 Evolution

Año Año
Año Año Año
2005 2006
1999 2000 – 2002 2007
(Junio) (Enero)
BS ISO
BS 7799 – 1 ISO 17799 (2000) ISO 17799 (2005) ISO 27002
BS 7799 – 2 BS 7799-2:2002 BS 7799-2 (2005) ISO 27001
UNE 71502
+ ISO 27004 Indicadores y Cuadros de mando (2007)

Metodología de un SGSI según ISO 27001
Documento de la política
Fase 1 Definir la política

Definir el alcance del
Fase 2

SGSI Alcance del SGSI
Análisis Activos de Información

Riesgos, Análisis de riesgos Análisis de riesgo
Fase 3 amenazas y
vulnerabilidades
Gestión de riesgos desde el

Resultados y conclusiones

Fase 4 punto de vista
organizacional
Gestionar el riesgo
Grado de aseguramiento
requerido
Controles seleccionados
Sección 5 de la ISO
27001 objetos de control Seleccionar objetos de
Fase 5

y controles control y controles a
implementar
Controles adicionales
que no sean de ISO
27001
Objetos de control y controles
seleccionados

Fase 6 Preparar una
Declaración de aplicabilidad
declaración de
aplicabilidad
Implementación
Cambios / Mejoras en ISO 27001
4.2.2 4.2.2
Implement Implement
and operate and operate
the ISMS the ISMS
Item d) This is possibly the biggest change in
‘Define how to that as well as implementing and
measure the operating the ISMS, it is now
effectiveness’ required to define how to measure
has been the effectiveness of controls or
added groups of controls, and that it shall
be specified how these
measurements are to be used to
assess control effectiveness to
produce comparable and reproducible
results. This could cause some
major problems for clients.
A.6 Mejora en las relaciones con terceras partes

A.8 Mejoras en el control sobre las personas



A.13 Mejoras en el registro de incidentes / debilidades

A.13 Mejoras en el registro de incidentes / debilidades

A.14 Mejoras en la gestión de continuidad de negocio

A.14 Mejora en la gestión de continuidad de negocio

Beneficios de implantación de un SGSI
• Estructura e inversiones adecuadas, costo correcto
• Control y clasificación de activos
• Dirección de operaciones y comunicaciones
• Política de Seguridad
• Evaluación de riesgos internos y a terceros
• Gestión de las personas: Seguridad del personal
• Desarrollo y mantenimiento de sistemas
• Dirección de Planes de Contingencia
• Cumplimiento con la legislación

Conclusiones
• La Seguridad en TIC es un proceso que afecta a toda la
organización.
• Las organizaciones deben definir una estrategia de

seguridad basada en el negocio y no en la tecnología.
• La seguridad que proporciona un SGSI es permanente puesto

que es un proceso, y no acciones puntuales.
• El enfoque de la Seguridad debe ser integral, si no puede

conducir a una falsa sensación de seguridad y al fracaso
• La seguridad de la información se basa en las personas.

Objetivo: La protección (seguridad) de nuestro

negocio (la información) mediante las personas
COMPORTAMIENTO
Aceptación
Proactivo
Concienciado
Formado
Informado
TIEMPO

Nextel PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nextel PDF

Cargado por

Copyright:

Formatos disponibles

ISO 27001: El estándar de seguridad de la información

ISO 27001: El estándar de seguridad de la información

Incidentes seguridad internos

Impacto de incidentes de seguridad en el negocio:

HERRAMIENTAS LOPD / LSSI

BS 7799 / ISO 27001 Evolution

BS 7799 – 2 BS 7799-2:2002 BS 7799-2 (2005) ISO 27001

+ ISO 27004 Indicadores y Cuadros de mando (2007)

Fase 1 Definir la política

Análisis Activos de Información

Gestión de riesgos desde el

A.6 Mejora en las relaciones con terceras partes

A.8 Mejoras en el control sobre las personas

A.8 Mejoras en el control sobre las personas

A.8 Mejoras en el control sobre las personas

A.13 Mejoras en el registro de incidentes / debilidades

A.13 Mejoras en el registro de incidentes / debilidades

A.14 Mejoras en la gestión de continuidad de negocio

A.14 Mejora en la gestión de continuidad de negocio

Beneficios de implantación de un SGSI

• Estructura e inversiones adecuadas, costo correcto

• Control y clasificación de activos

• Dirección de operaciones y comunicaciones

• Evaluación de riesgos internos y a terceros

• Gestión de las personas: Seguridad del personal

• Desarrollo y mantenimiento de sistemas

• Dirección de Planes de Contingencia

• Cumplimiento con la legislación

• Las organizaciones deben definir una estrategia de

• La seguridad que proporciona un SGSI es permanente puesto

• El enfoque de la Seguridad debe ser integral, si no puede

• La seguridad de la información se basa en las personas.

Objetivo: La protección (seguridad) de nuestro

También podría gustarte