Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Estudio Exposicion ISO 27000

    Cargado por

    Kevin Acosta
    68 vistas3 páginas

    Título original

    Estudio exposicion ISO 27000

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    68 vistas3 páginas

    Estudio Exposicion ISO 27000

    Cargado por

    Kevin Acosta

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    INTRODUCCION

    La información es un activo vital para el éxito y la continuidad en el mercado de cualquier


    organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan
    ha de ser un objetivo de primer nivel para la organización.

    Disponibilidad: acceso a la información y a los sistemas por personas autorizadas en el


    momento que así lo requieran.
    Integridad: mantener con exactitud la información tal cual fue generada, sin ser manipulada ni
    alterada por personas o procesos no autorizados

    La ISO 27000 es un conjunto de estándares desarrollados que proporcionan un marco de trabajo


    para gestionar la seguridad de la información de una manera correcta utilizable por cualquier tipo
    de organización ya sea pública o privada, grande o pequeña

    ISO 27000 proporciona una visión general de las normas que la componen la serie 27000,
    indicando para cada una de ellas su alcance de actuación y el propósito de su publicación.
    Recoge todas las definiciones de la norma 27000 y aporta las bases de por qué es importante la
    implantación de un SGSI, una introducción a los SGSI, una breve descripción de los pasos para el
    establecimiento mantenimiento y mejora de un SGSI
    ISO/IEC 27002 proporciona directrices para la implementación de los controles indicados en
    ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los
    riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más
    información sobre cómo implementar esos controles. A la ISO 27002 anteriormente se la
    conocía como ISO/IEC 17799 y surgió de la norma británica BS 7799-1.
    ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se
    acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los
    objetivos.
    ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información.
    Es un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo
    llevar a cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la
    implementación.
    ISO 27006 Especifica los requisitos para la acreditación de entidades de auditoría y
    certificación de sistemas de gestión de seguridad de la información.

    ISO 27007 Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
    ISO 27008 Es una guía de auditoria de los controles seleccionados en el marco de implantación de
    un SGSI

    ISO 27010 Es una guía para los SGSI cuando se comparten entre organizaciones o sectores,

    ISO 27011 Es una guía de interpretación de la implementación y gestión de la seguridad de la


    información en organizaciones del sector de telecomunicaciones basada en la ISO 27002

    ISO 27013 Es una guía de implementación integrada de ISO 27001 y de ISO 20000(gestión de
    servicios de TI)

    ISO 27014 Es una guía de gobierno corporativo de la seguridad de la información

    ISO 27015 Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros

    ISO 27016 Es una guía de valoración de los aspectos financieros de la seguridad de la información

    Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que permiten a
    las organizaciones garantizar que todos los activos de la empresa están siendo manipulados
    adecuadamente y que no hay riesgos de fugas de información.

     SGSI - ISO/IEC 27001


     Un SGSI desde la visión del estándar internacional ISO/IEC 27001 es un enfoque
    sistemático para establecer, implementar, operar, monitorear, revisar, mantener y
    mejorar la seguridad de la información de una organización y lograr sus objetivos
    comerciales y/o de servicio (p.ej. en empresas públicas, organizaciones sin ánimo de
    lucro, ...).

     ALCANCE
     El alcance de un SGSI puede incluir, en función de dónde se identifiquen y ubiquen
    los activos de información esenciales, total con sólo un parte de la organización,
    funciones específicas e identificadas de la organización, secciones específicas e
    identificadas de la organización, o una o más funciones en un grupo de organizaciones.

    Seguridad integral de la seguridad de la información

    Para mantener los activos de información de una empresa y organización se debe


    considerar los riesgo e incidentes que pueden afectar a esta, para esto se debe
    cumplir con los procedimientos, políticas y normativas que rigen a la empresa u
    organización para seguir con la continuidad del negocio, también se debe tener n
    cuenta los cambios de cultura y actualización y creación nuevas tecnologías.
    Evaluación de los riesgos

    Cada organización debe determinar el proceso más apropiado para evaluar los riesgos que se
    pueden presentar en los activos de la información, aquí es donde se usa la guía de la ISO 27005 el
    cual nos permite cómo llevar a cabo la evaluación y el tratamiento de riesgos.

    Para poder hacer este proceso se debe explicar en un documento como se identifican, analizan,
    evalúan y priorizan los riesgos relacionados con los activos de información más relevantes del
    alcance.

    A la hora de realizar la evaluación de riesgos se debe hacer lo siguiente

    Se debe tener en cuenta

    1. Las revisiones y actualizaciones periódicas por cambios sustanciales de una organización


    son requeridas para reflejar los cambios en los riesgos antes que se produzcan para
    prevenir y anticipar acciones mitigadoras.
    2. Informes relevantes, informes de evaluación de riesgo
    3. Métricas de riesgo
    4. Lista de priorización de riesgos
    5. Catálogos de riesgos corporativos

    Tratamiento de riesgos

    Una vez que se recopila la evidencia necesaria esta debe tener una política por escrito para decidir
    e implementar un plan de tratamiento de riesgos adecuado.

    SOA (Declaracion de aplicabilidad): Establece los riesgos de información y los controles que son
    relevantes y aplicables al SGSI

    Auditorías internas y revisión por la dirección

    Los informes de auditoría interna del SGSI son la evidencia más directa que documenta los
    principales hallazgos, conclusiones y recomendaciones de la auditoria con la posibilidad de
    comunicar no conformidades y acciones correctivas.

    Los informes de auditoría deben atender

     Programación a base de calendarios


     presupuestos
     asignaciones de días de trabajo del auditor
     alcances de cada auditoria
     documentos de trabajo de auditoria
     evidencia
     recomendaciones
     planes de acción estipulados
     notas de cierre

    También podría gustarte