Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANTONIO GARCIA
10.05.19
• HISTORIA
– 1989. REINO UNIDO : Codigo de buenas practicas para
ususarios.
– 1993: BSI: Codigo de practicas para la gestion de seguridad de
la informacion.
– 1995: Publicacion de la BS 7799. (No certificable). (éxito).
– 1998: Publicacion de la BS 7799-2. (Certificable). (éxito).
– 2002: ISO/IEC 17799:2000.
– 2005: ISO /IEC 27001:2005
– 2007: REVISION DE LA 17799 se adecua a normativa de
grupo 27000 y se convierte en ISO 27002
– 2013: publicacion de la revision de ISO 27001:2013
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
CUESTION de clase semana pasada
• 7.9 Vigilancia tecnológica e inteligencia competitiva
• El sistema de gestión de la I+D+i debe incluir un proceso de vigilancia tecnológica e inteligencia
competitiva.
• La vigilancia tecnológica permite realizar de manera sistemática la captura, el análisis, la difusión
y la explotación de las informaciones científicas, técnicas, legislativas, normativas, económicas,
de mercado, sociales, etc., útiles para la organización.
• La información proporcionada por la vigilancia tecnológica es fundamental para el conocimiento
del entorno de la organización (véase el capítulo 4), así como para la inteligencia competitiva.
• La inteligencia competitiva comprende el análisis, interpretación y comunicación de la información
de valor estratégico, que se transmite a los responsables de la toma de decisiones en la
organización, incluidas las relativas al sistema de gestión de la I+D+i (por ejemplo, en la revisión
por la Dirección, véase 9.3).
• NOTA Véase también la Norma UNE 166006 para obtener más detalles acerca de la vigilancia
tecnológica y la inteligencia competitiva.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
• La Vigilancia Tecnologica es un proceso organizado, selectivo y
permanente, de captar información del exterior y de la propia
organización sobre ciencia y tecnología, seleccionarla, analizarla,
difundirla y comunicarla, para convertirla en conocimiento para
tomar decisiones con menor riesgo y poder anticiparse a los
cambios. (Definición según norma UNE 166006:2011 Ex Gestión de
la I+D+i: Sistema de Vigilancia Tecnológica e Inteligencia
Competitiva)
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.1. Antecedentes
En el momento del atentado
aquellas organizaciones que
operaban bajo un SGSI pudieron
ser capaces de levantar su
negocio en períodos cercanos a
48 horas. Esto se debe a que un
SGSI permite la continuidad de
la información, incluso, tras
catástrofes de todo tipo.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.2. ¿Qué es la norma ISO 27001?
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.3. ¿Qué es la norma ISO 27002?
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.4. Relaciones entre las normas ISO 27001 e ISO 27002
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.4. Relaciones entre las normas ISO 27001 e ISO 27002
ISO 27001
ISO 27002
COPIAS DE SEGURIDAD ( 12.3).
• establecer procedimientos rutinarios para garantizar el respaldo ( ver 14.1)
• Implantar procedimientos de back up y recuperacion.
• Considerando la E.R. Para determinar activos mas importantes y establecer al
estrategia de back upS.
• Tipo de almacenamiento, soporte a emplear
• Aplicación de tecnicas de cifrazo para datos sensibles o valioso
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.5. La familia ISO 27000
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
► 4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• SOA:
• STATEMENT OF APLICABILITY.
• DECLARACION DE APLICABILIDAD:
– SoA se trata de un documento que enlista los controles de
seguridad establecidos en el Anexo A del estándar ISO/IEC
27001 (un conjunto de 114 controles agrupados en 35 objetivos
de control, en la versión de 2013 de esta norma de seguridad).
– La Declaración de Aplicabilidad se desarrolla despues del
tratamiento de riesgos, que a su vez es la actividad posterior a
una evaluación de riesgos. El tratamiento tiene como objetivo
la definición de las acciones a realizar para mitigar aquellos
riesgos que han sido identificados y analizados.
– MITIGAR- TRANSFERIR-ACEPTAR.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
COPIAS DE SEGURIDAD
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• BUENA PRACTICA:
– Elaboracion de planes de accion
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• BUENA PRACTICA:
– Elaboracion de planes de accion
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• ELEMENTOS SIGNIFICATIVOS dispuestos a traves del anexo:
– CONTRATACIONES DEL PERSONAL:
• Selección correcta.
• Aceptación de terminos y condiciones a la misma.
• Consciente de riesgos y amenazas.
• Procesos disciplinarios.
• Responsabilidades legales.
– PROTECCION DE AREAS FISICAS QUE CONTIENEN
INFORMACION.
• Perimetro asegurado.
• Medios de control.
• Equipos de respaldo.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• ELEMENTOS SIGNIFICATIVOS dispuestos a traves del anexo:
– ACCESO A PERSONAS AUTORIZADAS:
• Procedimiento.
• Permisos
– POLITICAS DE CLAVES DE ACCESO:
• Compromisos firmados.
• temporalidad de contraseñas.
• ….
– ACCESO A LA INFORMACION CONFORME SEGURIDAD,
CRITERIOS DEL NEGOCIO Y LEGALES
• Documentar de forma individualizada.
• Legislacion aplicable.
• Revision periodica.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.7. SOA
• ELEMENTOS SIGNIFICATIVOS dispuestos a traves del anexo:
– ACCESOS EXTERNOS DE LA RED.
• Informacion al usuario de los peligros.
• Protocolos seguros.
• Desarrollo de politicas para escritorios
• Encriptacion de la informacion sensible.
– EMPLEO CORRECTO DE LOS EQUIPOS DE SOBREMESA.
• RECORDAD BUENAS PRACTICAS DE ISO 27002.
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.8. EVALUACION DE RIESGOS
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.8. EVALUACION DE RIESGOS
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.8. EVALUACION DE RIESGOS
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.9. SISTEMA DE GESTION
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
4.10. SISTEMA DE GESTION
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
PROXIMA CLASE: 5
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
33
- ANTONIO GARCIA
www.unir.net