Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sgsi 130413162731 Phpapp02
Sgsi 130413162731 Phpapp02
SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
ISO 27001
Base de datos
Qué es Información?
ISO 27001
Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos:
− Capital Humano
− Impresa o escrita en papel
− Dispositivos de almacenamiento (Discos,
CDs, etc…)
− Oral (teléfono, móvil, etc.)
− Video, fotos
La Información en las Empresas
ISO 27001
Dentro de una Empresa, la información es
considerada un Activo (un recurso) que tiene
valor o utilidad para sus operaciones
comerciales y su continuidad. Por esta razón,
esta información necesita tener protección
para asegurar una correcta operación del
negocio y una continuidad en sus
operaciones.
La Información en las Empresas
Estos activos pueden ser clasificados de la siguiente
ISO 27001
forma:
• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización
• Servicios (comunicaciones, etc.)
Qué es seguridad de la
ISO 27001
Información?
La seguridad de información se caracteriza por la
preservación de:
Confidencialidad
Integridad
Disponibilidad de la
información
Identificación de Amenazas
Tipos de Amenazas
ISO 27001
Am
cio as
les
ra az
H en
na
um a
pe en
an zas
O Am
as
Amenazas a Amenazas
Instalaciones Sociales
Am
óg s
Na en
ol za
tu aza
ica
cn ena
ra s
l es
Te Am
Vulnerabilidades
Tipos de Vulnerabilidades
ISO 27001
Control de
Acceso
Seguridad de los Seguridad física y
recursos humanos ambiental
Ge
st
y c i ón
ac Sis o,
n de
r m e nt
om op
ió t .
fo o d ie
un era
in oll nim
i ca c i o
rr te
ció ne
sa n
n s
de Ma
ISO 27001
Seguridad de la Información
SGSI
¿Seguridad de la Información ?
• La información es un activo que como otros activos
ISO 27001
importantes tiene valor y requiere en consecuencia una
protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
Información
de la Seguridad
Administrada
de Información
3 2
Revisar Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4
Requerimientos Actuar
Seguridad de
y Expectativas 1
Información
de la Seguridad
Planificar
Administrada
de Información
3 2
Revisar Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Definir el enfoque de evaluación del riesgo de
la organización.
• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance
establecido.
• Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Identificar y evaluar las opciones de tratamiento de los
riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos
residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
2 Información
de la Seguridad Hacer Administrada
de Información
3
Revisar
Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
• Hacer.
• Plan de tratamiento del riesgo.
• Implementar el plan de tratamiento del riesgo.
• Implementar controles seleccionados.
• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
• Implementar programas de capacitación.
• Manejar las operaciones y recursos del SGSI.
• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
3 Información
de la Seguridad Revisar Administrada
de Información
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Revisar.
• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de seguridad.
• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas
tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
• Revisar.
• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados
del monitoreo.
• Registrar las acciones y eventos con impacto sobre el
SGSI.
Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
1
Requerimientos Planificar
Seguridad de
y Expectativas
4 Información
de la Seguridad Actuar Administrada
de Información
3 2
Revisar Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Actuar.
• Implementar las mejoras identificadas en el
SGSI.
• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las
partes interesadas.
• Asegurar que las mejoras logren sus objetivos
señalados.
ISO 27001
Seguridad de la Información
SGSI
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los
ISO 27001
resultados de la revisión de la dirección, para lograr la
mejora continua del SGSI.
Descripción de
procesos,
Nivel II Procedimientos
Quién hace qué y
cuándo
Describe tareas
Instrucciones de
Nivel III específicas y cómo se
Trabajo
realizan
Provee evidencia
Nivel IV objetiva de la Registros
conformidad con SGSI
Factores Claves de Éxito en la
Implementación de un SGSI
ISO 27001