Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 7- Sesión 1 y 2
INTRODUCCIÓN
4 Auditorias
2
INTRODUCCIÓN
SGSI
4
La Información en las Empresas
5
Qué es seguridad de la Información?
La seguridad de información se caracteriza
por la preservación de:
Confidencialidad
Integridad
Disponibilidad de la
información
6
¿Seguridad de la Información ?
• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la
forma que tome o los medios por los que se comparte
o almacene.
7
Qué es norma ISO 27001?
8
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
9
SISTEMAS DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN
10
SISTEMAS DE GESTIÓN LA
SEGURIDAD DE LA INFORMACIÓN
ISO 27001 se ha convertido en la principal norma a nivel
mundial para la seguridad de la información y muchas
empresas han certificado su cumplimiento:
21
Monitoreo y Revisión (Check)
21
Monitoreo y Revisión (Check)
21
Mantenimiento y mejora del SGSI
22
Documentación del SGSI
PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las
EXIGIDOS POR LA actividades
NORMA
23
Requisitos de Certificación del SGSI
• La norma establece requisitos para Establecer, Implementar y
Documentar un SGSI.
– Definir el alcance del SGSI (fronteras)
– Definir una política de seguridad
– Identificar activos
– Realizar el análisis de riesgos de activos.
– Identificar las áreas débiles de los activo
– Tomar decisiones para manejar el riesgo
– Seleccionar los controles apropiados
– Implementar y manejar los controles seleccionados.
– Elaborar la declaración de aplicabilidad
24
Objetivos de auditoria
• Para obtener la certificación.
• Revisar conformidad con la norma (ISO/IEC 27001)
• Revisar grado de puesta en práctica del sistema
• Revisar la eficacia y adecuación en el cumplimiento de:
– Política de seguridad
– Objetivos de seguridad
• Identificar las fallas y debilidades en la seguridad
• Proporcionar una oportunidad para mejorar el SGSI
• Cumplir requisitos contractuales.
• Cumplir requisitos regulatorios.
26
Dentro de la auditoria
• Guía: persona de la empresa que acompaña al equipo
auditor y le facilita la información solicitada.
Normalmente será el Responsable del Sistema de Gestión de la
Seguridad de la Información.
• Representante de la dirección: persona con autorización suficiente en
la empresa para confirmar la implicación y compromiso de la dirección
con las políticas de seguridad y aprobadas.
• Observadores, personal en formación: normalmente personal de la
empresa en formación para auditor interno.
• Consultores: cuando la empresa contrata un consultor externo para
• asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría
pero no debe intervenir en ningún momento .
26
Dentro de la auditoria del
SGSI
27
Dentro de la auditoria del
SGSI
28
Dentro de la auditoria del SGSI
Revisión Documental
1. Política de seguridad de la organización.
2. Alcance de la certificación.
3. Análisis de riesgos de la organización
4. La selección de controles de acuerdo con a declaración
de aplicabilidad.
5. Revisión de la documentación de los controles
seleccionados.
29
Bibliografia
ISO/IEC 27002:2005:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnum
ber=50297
Ramir Cid
Director de Seguridad | CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
30
Preguntas
• ¿Cuándo y porque implantar un SGSI en una
organización?
Implantar un SGSI en una empresa no es
precisamente cuando se le haya presentado un
incidente de seguridad sobre su información, sino,
cuando ésta desea tener un crecimiento y
posicionamiento ante un mercado exigente y global
teniendo en cuenta que para ello, requerirá del uso de
la Tecnología de la información y las comunicaciones
para lograrlo.
31
Preguntas
• ¿Es necesario certificarme en la ISO/IEC 27001:2005?
32
Preguntas
• ¿Exprese el proceso del SGSI?
33
Gracias,,,
34