Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EL DESARROLLO
SGI COMPETITIVO.
- Sistema de Gestión de la Calidad
INTEGRAR:
Fusionar N partes, obteniendo un todo, que incluye
partes comunes y partes específicas de cada norma.
OHSAS 18001:2007
www.intedya.com
Requisitos ISO 27001:2013
Importancia de la seguridad de la información
Actualmente, las TIC viven una nueva revolución que viene determinada por la generalización del uso
de la tecnología móvil y las redes sociales, y que está conllevando un despliegue de las tecnologías
conocidas como SMAC (por las siglas en inglés de social, móvil, analíticas y la nube).
La norma ISO 27001, tiene vocación universal, aplicable a organizaciones de todos los sectores y
tamaños, y que describe de qué debe constar un sistema de gestión de la seguridad de la
información en cualquier tipo de organización.
La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo,
en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la
información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran
de una adecuada protección.
La norma ISO 27001 contiene requisitos que proporcionan claros beneficios para la adecuada gestión de
la organización:
Comprensión del CONTEXTO DE LA ORGANIZACIÓN Y LAS PARTES INTERESADAS.
Énfasis en el LIDERAZGO DE LA DIRECCIÓN.
APRECIACIÓN Y TRATAMIENTO DEL RIESGO; no sólo limitado a la identificación y valoración de los
riesgos, sino asegura que los controles implantados son los adecuados para reducir los riesgos que
amenazan su seguridad y evitar que cualquier deficiencia de su sistema sea explotado.
MECANISMOS DE PROTECCIÓN de los activos de información de la organización. Implementación de
Medidas técnicas, organizativas y legales, necesarias para preservar la información.
Requisitos ISO 27001:2013
ISO 27001
Consideración de las partes
interesadas y el contexto de
la organización en la
seguridad de la información
BS 7799:1995 de BSI, surge con objeto de La serie de Normas ISO 27000 apareció
proporcionar a cualquier empresa, británica o en 2005, tomando como base la
no, un conjunto de buenas prácticas para la norma británica BS 7799-2 de 2002 y
gestión de la seguridad de su información. dando lugar al estándar ISO/IEC
BS 7799-2:1998 estableció los requisitos de un 27001:2005.
sistema de seguridad de la información (SGSI) Actualmente la versión del estándar
para ser certificable por una entidad certificable es ISO 27001:2013.
independiente.
Las dos partes de la norma BS 7799 se
revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO
17799 en el año 2000.
1ª
Aparició 1ª Aparició
Aparició ISO Revisión
1995 n BS7799 1999 n 2000 17799 2002 Revisión 2005 n ISO 2013 ISO
BS7799-2 BS7799 27001
27001
Requisitos ISO 27001:2013
Objetivo
El OBJETIVO PRINCIPAL DE LA NORMA ISO 27001 es ayudar a las organizaciones a proteger los
activos de la empresa, garantizando su confidencialidad, integridad y disponibilidad, y reducir
riesgos e incidencias.
Otro de los principales objetivos de la norma, es el ENFOQUE DEL SISTEMA DE GESTIÓN DE
MANERA ALINEADA CON LA ESTRATEGIA DE NEGOCIO DE LA ORGANIZACIÓN.
Por otro lado, ISO 27001 BUSCA LA INTEGRACIÓN DE ESTA NORMA CON LOS DEMÁS SISTEMAS
DE GESTIÓN para que sean más accesibles a todo tipo de organizaciones. Esto lo consigue con
una ESTRUCTURA DE ALTO NIVEL, común a todas las normas de gestión.
Requisitos ISO 27001:2013
¿Por qué es importante?
ISO 27001:2013
Estructurada en 10 puntos que sirven de base para otros sistemas de gestión y en el Anexo
A, que recoge los controles a ser implementados en la empresa:
APOYO Y
Seguridad de la
Organización y Planificar OPERACIÓN información
Hacer
su contexto
Apreciación y
tratamiento Resultados
de Riesgos EVALUACIÓN
PLANIFICACIÓN LIDERAZGO DEL del SGSI
DESEMPEÑO
Necesidades y
expectativas de
las partes
Controles de
interesadas Verificar referencia.
pertinentes Actuar MEJORA
Medidas técnicas,
organizativas, y
legales
Requisitos ISO 27001:2013
Requisitos Clave
3. Términos y definiciones
INVERSIONISTAS
FACTORES EXTERNOS
Impuestos generales, legislación, políticas gubernamentales,
términos y cambio, factores específicos del sector, financiación,
comercio internacional y cuestiones monetarias, los factores sociales,
tecnología,….
Requisitos ISO 27001:2013
La norma
Cláusula 4 - ISO 27001:2013
Incluye :
Compromiso de cumplir con los
requisitos aplicables
Compromiso de mejora
Evidencia
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
Planificación
APRECIACIÓN DE
TRATAMIENTO DE
RIESGOS Y
RIESGOS DE SEGURIDAD
OPORTUNIDADES DE
DE LA INFORMACIÓN
MEJORA
Hitos críticos
OBJETIVOS DE
SEGURIDAD DE LA PLANIFICACIÓN DE
INFORMACIÓN Y CAMBIOS
PLANIFICACIÓN
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
Apreciación de riesgos
Criterios aceptación apreciaciones de riesgos
INFORMACIÓN DOCUMENTADA
Consecuencias materialización riesgos,
probabilidad de ocurrencia y niveles de riesgos
… LAS APRECIACIONES
DEBEN PERMITIR RESULTADOS
Evaluación de riesgos y comparación con los CONSISTENTENS, VÁLIDOS Y
criterios establecidos COMPARABLES
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
La metodología a utilizar
deberá tener en cuenta los
principios de seguridad de la
información de
confidencialidad, integridad y
disponibilidad de la misma.
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
CONFIDENCIALIDAD
DISPONIBILIDAD
Cualidad de la información de encontrarse disponible en el
momento, formatos adecuados para las personas autorizadas
en cada caso.
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
Plan de tratamiento de riesgos
Determinar qué acciones son adecuadas DEBE INCLUIR
para mitigación de riesgos.
Establecer los controles necesarios para
llevar a cabo los compromisos establecidos
en el tratamiento de riesgos de SI.
Contrastar los controles señalados con los • Estimación de costes.
del Anexo A, y confirmar que no se ha • Recursos necesarios.
prescindido de ninguno de ellos. • Plan de trabajo
Validación del plan de tratamiento de (Prioridades, calendario,
riesgos de la SI y la conformidad de los presupuesto,
riesgos residuales producidos. responsabilidades)
Requisitos ISO 27001:2013
La norma
Cláusula 6 - ISO 27001:2013
Plan de tratamiento
de riesgos
Asumirlo
Transferirlo Aceptar el riesgo ya
La decisión de cómo Mediante contratos que está por debajo
de outsourcing o la de los niveles
tratamiento del riesgo se contratación de aceptables.
pólizas de seguro
toma en función de:
A.7.2.2 Concienciación,
SI, requisitos según política "formación en seguridad
educación, y capacitación en
de la información" Ver Formación y concienciación
seguridad de la información
RECURSOS HUMANOS
Determinación del nivel de
competencia
Humanos, técnicos, de información, y
Proporcionar capacitación
financieros para la gestión del servicio, la
satisfacción del cliente, conocimientos Evaluación de la eficacia
organizativos,…
Contribución consecución objetivos
Mantenimiento de registros
Requisitos ISO 27001:2013
La norma
Cláusula 8 - ISO 27001:2013
Operación
Aquí se encuentran algunas de las cláusulas más importantes de
la norma:
Apreciación de riesgos de la seguridad de la información
a intervalos planificados o cuando se propongan o
sucedan cambios relevantes o significativos, y siempre
teniendo en cuenta los criterios definidos en la
metodología de apreciación de riesgos.
Tratamiento de los riesgos de seguridad de la
información
Requisitos ISO 27001:2013
La norma
Cláusula 9 - ISO 27001:2013
“No podemos gestionar lo que no podemos controlar, y no podemos controlar lo que no medimos”
Requisitos ISO 27001:2013
La norma
Cláusula 9 - ISO 27001:2013
Tener en cuenta:
Mejora
La compañía debe asegurarse de mejorar
continuamente la eficacia y la eficiencia de los
procesos
A.5 Política de
A.12 Seguridad de A.13 Seguridad de
seguridad de la
las operaciones las comunicaciones
información
A.14 Adquisición,
A.6 Organización de
A.11 Seguridad física desarrollo y
la seguridad de la
y del entorno mantenimiento de los
información
sistemas de información
A.7 Seguridad
A.15 Relación con
relativa a los A.10 Criptografía A.18 Cumplimiento
proveedores
recursos humanos
A.17 Aspectos de
A.16 Gestión de
seguridad de la
A.8 Gestión de A.9 Control de incidentes de
información para la
activos acceso seguridad de la
gestión de la continuidad
información
del negocio
Requisitos ISO 27001:2013
La norma
Anexo A.5 Políticas de seguridad de la información
Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos y
manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de
incumplimiento.
Requisitos ISO 27001:2013
La norma
Anexo A.8 Gestión de activos
La seguridad de la información se enfoca a la protección de los activos y de la
información que éstos contienen, para ello es fundamental y necesario su
identificación y una gestión adecuada.
1. Gestión de activos
IDENTIFICACIÓN DE ACTIVOS. La organización debe identificar todos los activos y
documentar su importancia.
Documentos en papel
Se considera ACTIVO a los
Software recursos del sistema de
información o relacionados
con éste, necesarios para
Dispositivos físicos
que la Organización funcione
correctamente y alcance los
Personas objetivos propuestos por la
dirección.
Imagen y reputación
Servicios
Requisitos ISO 27001:2013
La norma
Anexo A.8 Gestión de activos
2. Clasificación de la información
La información se debe clasificar para indicar la necesidad, las
prioridades y el nivel esperado de protección al manejarla. La
información tiene diferentes grados de sensibilidad e
importancia.
3. Manipulación de soportes
Establecer los procedimientos operativos adecuados para proteger los
documentos, medios informáticos (discos, cintas, etc.), datos de entrada
o salida y documentación del sistema contra la divulgación, modificación,
retirada o destrucción de activos no autorizadas.
Requisitos de
acceso a la Controlar el acceso a los recursos de tratamiento
información
de la información y a la información por medio
de un sistema de restricciones y excepciones de
acceso.
Control de
Gestión de
acceso a
acceso a
sistemas y
usuario
aplicaciones
Gestión del
acceso a las Implantar y configurar un
Limitar la utilización de
aplicaciones, usuarios genéricos y los
antivirus para todos los equipos
de la empresa, incluyendo los
sistemas y permisos de administración.
dispositivos móviles.
recursos de
tratamiento de Restringir los puertos USB a Implantar una política robusta
información puestos determinados de gestión de contraseñas.
Requisitos ISO 27001:2013
La norma
Anexo A.10 Criptografía
Garantizar el uso adecuado de
herramientas de cifrado para proteger la
confidencialidad, autenticidad y/o Políticas de uso
de controles
integridad de la información. criptográficos
Emplazamiento de equipos,
SEGURIDAD instalaciones de suministro,
DE LOS manteamiento de equipos,
EQUIPOS seguridad de los equipos,..
Requisitos ISO 27001:2013
La norma
Anexo A.11 Seguridad física y del entorno
PROTECCIÓN CONTRA Definir y documentar controles para la detección y prevención del acceso no
EL CÓDIGO autorizado, la protección contra software malicioso y para garantizar la seguridad
MALICIOSO de los datos y los servicios conectados a las redes de la organización.
COPIAS DE
Realización y pruebas periódicas.
SEGURIDAD
Análisis y verificación del cumplimiento de las normas, procedimientos y
REGISTROS Y
controles establecidos mediante auditorías técnicas y registros de actividad de los
SUPERVISIÓN
sistemas (logs).
GESTIÓN DE
VULNERABILIDADES Adaptación de medidas y restricción instalaciones de software
TÉCNICAS
AUDITORÍAS
SISTEMAS Controles de los sistemas operativos.
Requisitos ISO 27001:2013
La norma
Anexo A.13 Seguridad de las comunicaciones
• Un acceso no autorizado.
• El robo de contraseñas.
• Prácticas de Ingeniería Social.
• La utilización de fallas en los procesos de autenticación
para obtener accesos indebidos.
• El robo de información.
• ….
2. Redundancia
Requisitos ISO 27001:2013
Casos de éxito
Desarrollo e implementación de planes de continuidad
REQUISITO. Deben desarrollarse e implementarse planes para mantener o restaurar las operaciones y
garantizar la disponibilidad de la información en el nivel y en el tiempo requeridos, después de una
interrupción o un fallo de los procesos de negocio críticos.
SITUACIÓN DE PARTIDA. Empresa de e-learning con alumnos a nivel mundial y una única plataforma
de formación
SOLUCIÓN. Se propone hacer un Plan de Contingencia para los casos en los que se produzca caída de
servicio por parte del proveedor de servicio e-learning. Se definen las condiciones de inicio y restauración
del Plan, sus características y las condiciones de verificación.
Requisitos ISO 27001:2013
La norma
Anexo A.18 Cumplimiento
Asegurar que los sistemas cumplen las políticas , requisitos legales, normativos y otros
requisitos aplicables a la empresa, con el objeto de evitar incumplimientos de las
obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la
seguridad de la información o de los requisitos de seguridad.
www.intedya.com