Iso 27001 2013 PDF

Basado en la ISO
27001:2013
Seguridad de la Información
Agenda
Gobierno de Seguridad de la Información
Organización del Proyecto
Alineando el negocio con la Seguridad de la Información
Gestión de Riesgos
Indicadores de gestión
Mejora Continua
Gobierno de Seguridad de la Información
Gobierno de Seguridad de
la Información
El Gobierno de Seguridad de la Información está compuesto por

un conjunto de responsabilidades y practicas llevadas a cabo
mediante la junta ejecutiva con el objetivo de proporcionar la
dirección estratégica, asegurando que los objetivos se logran,
cerciorándose de que los riesgos se gestionan de manera
adecuada y asegurando que los recursos de la empresa son
usados responsablemente
Fuente: IT Governance Institute
Gobierno de Seguridad de
la Información
El Gobierno de Seguridad de la Información es un subconjunto de Gobierno

de la Empresa que proporciona la dirección estratégica, asegura que los
objetivos se logran, gestiona los riesgos adecuadamente, asigna
responsabilidades a los recursos de la organización, y supervisa el éxito o el
fracaso del programa de seguridad de la empresa.
Fuente - Information Security Governance
ISO 27014
La ISO-27014 indica seis principios de gobiernos de la seguridad de

información los cuales son:
1. Establecer responsabilidad con respecto a la seguridad de la información

en toda la organización
2. Adoptar una aproximación basada en el riesgo.
3. Establecer la dirección de las decisiones de inversión en seguridad de la
información
4. Asegurar conformidad con los requerimientos internos y externos.
5. Fomentar un entorno positivo respecto de la seguridad.
6. Revisar el rendimiento en relación a los resultados de negocio.
ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de la

información en toda la organización.
•¿La seguridad de la información se gestiona a un nivel de la organización que

permita la toma de decisiones?
•¿Las actividades asociadas a la seguridad lógica y física se realizan de forma
coordinada?.
•¿La responsabilidad y rendición de cuentas con respecto a la seguridad se
establece a través del ciclo completo de las actividades de la organización
incluidos terceros?.
ISO 27014
2. Adoptar una aproximación basada en el riesgo.
•¿Las decisiones se toman en función del riesgo?.

•El nivel aceptable de seguridad ¿se basa en el apetito al
riesgo de la organización?, ¿se incluye en él la posible
pérdida de ventaja competitiva, riesgos de cumplimiento
y responsabilidad, interrupciones operativas, pérdida
financiera y daño a la reputación?.
•¿Se asignan los recursos apropiados para implementar
la gestión de riesgos en la organización?.
ISO 27014
3. Establecer la dirección de las decisiones de

inversión en seguridad de la información.
•¿La estrategia de inversiones en seguridad de la

información se establece en función de los resultados de
negocio alcanzados?.
•¿Las inversiones en seguridad se integran con los
procesos generales existentes para las inversiones y
gastos de la organización?.
ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos.
•¿Se garantiza que las políticas y prácticas son conformes con la regulación
y legislación existente, con los compromisos y contratos de la organización
y con otros requerimientos internos o externos?.
•¿Se realizan auditorías de seguridad independientes?.
ISO 27014
5. Fomentar un entorno positivo respecto de la

seguridad.
A la hora de implementar la gobernanza de la seguridad,

¿se tiene en cuenta el comportamiento humano, incluyendo
la evolución de las necesidades de las partes interesadas?
¿Se exige, promueve y apoya la coordinación de las
actividades de las partes interesadas para alcanzar una
dirección coherente de la seguridad (educación, formación y
programas de concienciación)?.
ISO 27014
6. Revisar el rendimiento en relación a

los resultados de negocio.
¿La aproximación tomada para proteger la

información es adecuada al propósito de
apoyar la organización proporcionando
niveles acordados de seguridad de la
información?.
¿Se mantiene la seguridad en los niveles
requeridos para alcanzar los
requerimientos actuales y futuros del
negocio?.
¿Se evalúa la seguridad en relación a su
impacto en el negocio y no sólo en base a
la eficacia y eficiencia de los controles?.
ISO 27014
Organización del Proyecto
Requisitos y expectativas de las partes interesadas
respecto a l SGSI
ENTRADA
Liderazgo
Planificación
Operación
Organización
Contexto de la
SALIDA
Mejora
Evaluación
Requisitos y expectativas de las partes interesadas

gestionadas con el SGSI
Fases de la Metodología
7 FASES
Contexto
organización
Liderazgo
Planificación
Proyecto Implantación del

del SGSI Soporte SGSI
Operación
Evaluación
Mejora
Contexto
Liderazgo Planificación Soporte Operación Evaluación Mejora
organización
Contexto
organización
Contexto
organización
Contexto
organización
Contexto
organización
Contexto
organización
Contexto
organización
Alineando el negocio con la Seguridad de la Información
Comprensión de la Misión,
Objetivos, Valores y Estrategias
Misión
Los
objetivos
De
Valores Estrategias
La
Alineamiento Estratégico
Seguridad
de la
Objetivos Información
Políticas de Seguridad de
Políticas Corporativas
la Información
Análisis del Ambiente
Externo
Fortalezas Debilidades
Existen varias metodologías para
entender cómo funciona una
organización
Lo importante es identificar las

características de los factores
Oportunidades Amenazas
ambientales internos y externos
que influyen en la gestión de la
continuidad del negocio: misión,
actividades principales,
organización interna, partes
interesadas, ttc.
Análisis del Entorno Interno
•Estratégico (¿Quién establece las orientaciones estratégicas?)

•Gobierno (¿Quién coordina y gestiona las operaciones?)
•Operacional ( ¿Quién participa en las actividades de producción y
apoyo?)
Comprender la estructura y los

principales actores de la
organización relacionados con
el ámbito de aplicación en los
planos:
Identificación de los Principales
Procesos y Actividades
Activos de Oferta de Productos Procesos de

Información Claves y servicios Negocios
¿Cuáles son los ¿Cuáles son los bienes y ¿Cuáles so los

Activos de información Servicios producidos por Procesos claves que
Claves de la la organización? Permiten a la
Organización? Organización cumplir
Con su misión?
Análisis del Ambiente
Externo
• Plan del proyecto

• Diagrama de GANNT
• Documento Alcance del SGSI
• Acta de Constitución del proyecto
Documentos
• Plan del proyecto

• Diagrama de GANNT
• Documento Alcance del SGSI
• Acta de Constitución del proyecto
Gestión de Riesgos
¿Qué cambia en la gestión
de riesgos?
No tenemos que usar la norma ISO 31000 para

la gestión de riesgos. La norma ISO 31000 sólo
se menciona en la norma ISO 27001: 2013,
pero no es obligatorio.
No se tiene que eliminar los activos, amenazas

y vulnerabilidades de nuestra evaluación de
riesgos. Se puede mantener la metodología
antigua porque la norma ISO 27001: 2013 te
deja libertad para determinar los riesgos de la
forma que desee.
de riesgos?
No se debe dejar de lado el identificar a los
propietarios de activos. Aunque la norma ISO
27001: 2013 no requiere que usted identifique
los propietarios de activos como parte de la
evaluación del riesgo, el control A.8.1.2 Control
lo requiere.
En la Política de seguridad de la información de

nivel superior no se necesita establecer
criterios con los que los riesgos serán
evaluados - este era el requisito de la norma
ISO 27001: 2005 4.2.1 b 4)); en la norma ISO
27001: 2013, usted todavía tiene que definir
los criterios de evaluación de riesgo, pero no
como parte de la política de nivel superior.
de riesgos?
Se puede identificar los riesgos en función de
sus procesos, en función de sus
departamentos, utilizando sólo las amenazas y
vulnerabilidades no, o cualquier otra
metodología
Es necesario identificar los propietarios del

riesgo.
ISO 27001: 2005 requiere que la

administración apruebe riesgos residuales, así
como la implementación y operación del SGSI.
Por el contrario, en la norma ISO 27001: 2013
los propietarios de los riesgos deben aceptar
los riesgos residuales y aprobar el plan de
tratamiento de riesgos.
de riesgos?
Las opciones de tratamiento en la revisión
2013 no sólo se limitan a la aplicación de los
controles, la aceptación de riesgos, evitando
los riesgos, y la transferencia de riesgos como
lo fueron en la revisión de 2005 - básicamente,
usted es libre de considerar cualquier opción
de tratamiento que crea apropiado.
de riesgos?
Indicadores de gestión
Indicadores del SGSI
ISO 27004
ISO 27004
 Entrenamiento del SGSI

 Personal entrenado en el SGSI
 Entrenamiento en Seguridad de la Información
 Concientización en el Cumplimiento de la Seguridad de
la Información
 Políticas de contraseñas
 Calidad de las contraseñas – manual
 Calidad de las contraseñas – automática
 Proceso de revisión del SGSI
 Mejora continua de la gestión de incidentes de la
seguridad de la información del SGSI
ISO 27004
 Efectividad Implementación de acciones
correctivas
 Compromiso de la alta dirección
 Protección contra código malicioso
 Controles físicos de entrada
 Revisión de los archivos de registro de actividades
 Gestión de la periodicidad del mantenimiento
 Seguridad en acuerdos con terceras partes
Documento
• Documento Indicadores del SGSI
Mejora Continua
Revisión de Documentos
Revisión de Controles
Preguntas antes de
contratar a un consultor
1. ¿Cuál es su experiencia en su industria en particular?

2. ¿Cuántos clientes tenía? ¿Qué tipo de clientes que ha servido? ¿Puede
proporcionar una lista de referencias?
3. ¿Cuál es su reputación - lo que hacen los otros consultores dicen de él;
¿qué dicen sus clientes acerca de él?
4. ¿Cuál es su experiencia (negocio), además de la norma ISO 27001 y / o ISO
22301?
5. ¿Cuál es su experiencia en otras normas ISO?
6. ¿Habla su idioma a la perfección?
7. ¿Tiene algún conflicto de interés?
Preguntas antes de
1. ¿Cuántos proyectos de implantación ISO 22301 27001 / ISO ha terminó con éxito en
los últimos dos años?
2. ¿Cuántos de sus clientes solicitaron la certificación, y cuántas eran con éxito la
norma ISO 27001 / ISO 22301 certificada (en su primer intento)?
3. ¿Cuál fue la parte más compleja del proyecto ISO 27001 / ISO 22301 que ha tenido?
¿Puede describir brevemente?
4. ¿Cuál es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo
que los certificados tiene?
5. ¿él entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, ¿cuántos
entrenamientos tenía que prevé, para cuántas personas?
6. ¿Alguna vez ha publicado ninguno de los artículos de expertos? ¿Cuántas y dónde?
7. ¿Trabajó como auditor de certificación?
8. ¿Puede que le muestre ejemplos de la documentación de evaluación del riesgo que
él creó para algunos de sus clientes?
Preguntas antes de
1. ¿Cuál es el precio total de sus servicios (asegúrese de que

incluye todo: análisis, entrevistas, desarrollo de
documentación, capacitación, costos de transporte, etc.)?
2. ¿Cuáles son los servicios adicionales que usted tendrá que
comprar a otros proveedores?
3. ¿Cuál es el costo de su tiempo de los empleados que
participan en el proyecto?
Preguntas

Iso 27001 2013 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27001 2013 PDF

Cargado por

Copyright:

Formatos disponibles

Basado en la ISO

Gobierno de Seguridad de la Información

Organización del Proyecto

Alineando el negocio con la Seguridad de la Información

El Gobierno de Seguridad de la Información está compuesto por

El Gobierno de Seguridad de la Información es un subconjunto de Gobierno

La ISO-27014 indica seis principios de gobiernos de la seguridad de

1. Establecer responsabilidad con respecto a la seguridad de la información

1. Establecer responsabilidad con respecto a la seguridad de la

•¿La seguridad de la información se gestiona a un nivel de la organización que

2. Adoptar una aproximación basada en el riesgo.

•¿Las decisiones se toman en función del riesgo?.

3. Establecer la dirección de las decisiones de

•¿La estrategia de inversiones en seguridad de la

4. Asegurar conformidad con los requerimientos internos y externos.

5. Fomentar un entorno positivo respecto de la

A la hora de implementar la gobernanza de la seguridad,

6. Revisar el rendimiento en relación a

¿La aproximación tomada para proteger la

Requisitos y expectativas de las partes interesadas

Proyecto Implantación del

Lo importante es identificar las

•Estratégico (¿Quién establece las orientaciones estratégicas?)

Comprender la estructura y los

Activos de Oferta de Productos Procesos de

¿Cuáles son los ¿Cuáles son los bienes y ¿Cuáles so los

• Plan del proyecto

• Plan del proyecto

No tenemos que usar la norma ISO 31000 para

No se tiene que eliminar los activos, amenazas

En la Política de seguridad de la información de

Es necesario identificar los propietarios del

ISO 27001: 2005 requiere que la

 Entrenamiento del SGSI

• Documento Indicadores del SGSI

1. ¿Cuál es su experiencia en su industria en particular?

1. ¿Cuál es el precio total de sus servicios (asegúrese de que

También podría gustarte