¥ NN | , ave . ‘ , | * a a... Pe Se * + \ aN ai 4 4 Pm: A 4 x aed fi 7 Bf * ” 7 * : ep 6 en Oe KA IMFORMACION EN LA ADMINISTRACION 2 PUBLICA TyeD Bence cess a i &) ee | Cesc Ores t ) Po |éQUE ES ISO 270017 1SO 27001 es una norma desarrollada por ISO (Organizacién Internacional de Normalizacién) con el propésito de ayudar a gestionar la Seguridad de la 5 Informacién en una empresa. La nomenclatura ex: ta de la Norma actual es ISOMEC 27001 que es la revision de , la norma, en su primera version que fue publicada en el aio 2005 como una adaptacién de ISO de la norma britanica BS 7799-2. Actualmente 2 nivel mundial la norma ISO 27001 es la norma de referencia para certificar la seguridad de la informacién en las organizaciones Tar is cuslahclowee Ere nny DAS 160 22301, ‘https /iwwwedatasee-sokt.comfeslencuesta-iso-2020ON TN A ey May NO ~COMO FUNCIONA LA ISO 27001? = La ISO 27001 tiene un enfoque de procesos, esto significa que sus controles se usan para asegurar que las operaciones de un negocio agreguen valor y siempre se hagan de forma segura. = Lo que debe saber es que tiene 14 cléusulas,y en un anexo (elAnexo A) te brinda los | 14 controles que debes implementar para cumplir con la normativa,FAMILIA ISO 27000 * La ISO 27001 es ef qué hacer: te dice qué controles debes tener para proteger : tu informacidn e implementar un SGSI = La ISO 27002 es ef cémo hacerlo: cémo llevar a la prictica los 114 controles de seguridad del Anexo A. = ISO 27003. Esta en fase de desarrollo. Consiste en una guia de implantacién de — SGSI del empleo del modelo PDCA y los requisitos de sus etapas. Su origen esta cen el anexo B de la norma BS 7799-2. = ISO 27004. Esta en fase de desarrollo, Establece las técnicas aplicables para la determinacién de la eficiencia de un SGSI y sus controles. Se utilizan | = ISO 27005. Establece los principios para la gestién del riesgo en la seguridad de x la informacién. Disefiada para ayudar a la aplicacién de la seguridad de la informacion en el enfoque de gestién de riesgos. = ISO 27006. Establece los requerimientos de la acreditacién de entidades auditoras y certificacion de SGSINN ee A FAMILIA ISO 27000 ISO 27007. Esta en fase de desarrollo. Consiste en una guia para la auditoria de un SGSI ISO 27011. Esta en fase de desarrollo. Es una guia de gestion de la seguridad de la informacién para las telecomunicaciones junto con ITU. ISO 27031. En fase de desarrollo. Es una guia de continuidad de negocio de la informacion y comunicaciones. ISO 27032. En fase de desarrollo. Guia vinculada a la ciber seguridad ISO 27033. En fase de desarrollo, Contiene 7 partes ISO 27034. En fase de desarrollo. Guia de seguridad en aplicaciones, ISO 27799, Norma de GSI en el sector sanitario.NN ee A ALCANCE La mayoria de organizaciones dispone o tiene acceso a informacién sensible. El hecho de no proteger adecuadamente dicha informacién puede tener consecuencias ‘operativas, inancieras y legales. La ISO 27001 es la norma internacional para los sistemas de gestién de la seguridad de la informacién (SGSI). Proporciona un marco robusto para proteger la informacién que se puede adaptar a organizaciones puiblicas y privadas de todo tipo y tamaio. hutpsd/hwwrwcatasec-sok comfeslencuesta-is0-2020NS ee OR Proposito El propésito central de un SGSI es proporcionar proteccién a la informacién sensible o de valor. La informacion sensible incluye informacion sobre los empleados, clientes y proveedores. La informacién de valor incluye propiedad intelectual, datos financieros, registros legales datos comerciales y datos operativos.Términos utilizados Surgeon debido a la presencia Jue procesan, almacenan, mantienen, pré Geamenazispanloracivet | Siesmvounciacessh mormelonioae 7 dslagara nedentes ==aN registros de empleados, de lentes, datos financieros. de disefio, de prueba ‘Son eventos no deseados que: intogridad (corrupcion do eau en una pérdiéa de | toe) 0 sponta (alo confidenciaidad violcién de | Su) son as que causan (p0r ejemplo, un robo), aceidentales (por > = incdentes y pueden ser ‘jempl.un error tpogrfco) una causa rmaliciesas ‘natural (por ejemplo, una inundacién).Las organizaciones requieren una adecuada y robusta estrategia de seguridad de la informacién para proteger los activos, la imagen y la reputacién, asi como los % = invereses internos y externos. aS f ee a6 ers ac one y i volucionads| pracueo en eee segunda ela peston ce Seguridad de la ae Pgetoie! ilermacen i 5 : te ¥ ts NeSEGURIDAD DE LA INFORMACION EN LA ACTUALIDA\ {Qué es la segui Es un conjunto de procedimientos, actividades, protocolos y politicas para Sas Pics iam Korey alos Vio) CoM MN 2c) tle) a Pele) 1MI)\o) Ce eA er area Wee rena mitigando los impactos que se puedan generar de su mal uso y custodia. foreman ct) erage) Dole eal *+ Solo debe tener * Debe ser integral, * Debe estar acceso quien tiene completa, exacta, disponible cuando el rol y los sin modificaciones, se requiera Za permisos para desde el origen = c acceder hasta destino Estos tipos de riesgo de seguridad de a informacion se eonocen cominmante como "CID"PR RUS ee cece a cela informacién sensible o de valor. La informacién sensible incluye informacién sobre los empleados, clientes y proveedores. La informacion de valor incluye propiedad intelectual, datos financieros, registros legales datos Pena ae eerie ected as La seguridad de la informacién esti ganando notoriedad en las organizaciones y la \\ adopcion de Ia ISO 2700! es cada vez mis necesaria. La mayoria de las i corganizaciones reconoce que las brechas de seguridad ocurren, solo es cuestion de e tiempo para verse afectados por este hecho.wy aia Implementacion de un Sistema de Gestién de Seguridad de la Informaci rote ridees organi ‘J = s fy : oes Gestién de riesgos secures * yactivos — ‘Sten ‘ecues \ a y ¥ opera cs SnesRIESGO COMPONENTE BASE DE LA SEGURIDAD DE LA INFORMACION Los riesgos en la seguridad de la informacién generalmente surgen debido a la presencia de amenazas para los activos que procesan, almacenan, mantienen, protegen o controlan el acceso a la informacién, lo que da lugar a incidentes 2 = NeEnfoque del riesgo y el control del SGSI Se realiza a través de las auditorias al sistema, y el enfoque que se utiliza se basa en un anilisis de riesgos organizacionales. Las auditorias son un proceso Cece ene en ten ee cae erie coc TE acre ha Ree ea eet) SGSI.Modelo de gestién ISO 27001 La ISO 27001:2013 se compone de 10 Ss secciones conocidas como clausulas. , LAleance 2. Referencias normativas 2. Tenis yahoos 4. Contexto de la organizacion 5. Liderazgo 6. Planificacién 7-Soporte Zs 8. Operacién 2 Te 9. Evaluacién del desempefio 10.MejoraNormativas aplicables al SGSI Para la implementacién y gestion de la seguridad de la informacién se aplican y utilizan estindares o modelos = nacionales e internacionales, asi como buenas practicas para gestionar y administrar la seguridad de la informacién con base a controles y procedimientos. iy oe | sepurid eb inforrae Las entidades también pueden definir su Sistema de Gestién de Seguridad de la Informacién con base en politicas 0 ey lineamientos internos de la organizacién. e ISO 27001 +180 27002 +150 27005 +180 27035 + Ley 1581 de 2012 + NIST SP 600Términos y vocabulario ==aN S . oe 6...9 = 3 saNN ee A CONTEXTO DE LA ORGANIZACION CLAUSULA 4 Dominios de control Se define en la cliusula 4, el objetivo de su SGSI como el de iy proteger los activos de informacion de su organizacion, de manera que ésta pueda aleanzar sus objetivos + Interno: Aspectos sobre los que la organizacién tiene control. Ss + Externo: Aspectos sobre los que X la organizacién no tiene control directo. =NN ee A CLAUSULA 5: LIDERAZGO Politica de seguridad “ Una responsabilidad vital del liderazgo es establecer y documentar una Politica de Seguridad de la Informacién que esté alineada con los objetivos clave de la organizacién. Debe incluir objetivos o un marco para establecerlos. Para demostrar que esti alineado con el contexto de su organizacién y los rrequisitos de las partes interesadas clave, se recomienda que haga referencia © contenga un resumen de los principales problemas y requisitos que debe adminizerar % S ——A 6: PLANIFICACION La ISO 27001 es una herramienta de gestién de riesgos que guia a una organizacién en la identificacion de riesgos de seguridad de la informacién, Como ==aS tal, el propésito subyacente de un SGSI es: fy : + Identificar los riesgos estratégicamente importantes, obvios y ocultos pero = peligrosos; if corganizacién estén disefiados, dirigidos y tengan recursos para gestionar a + Asegurarse de que las actividades y los procesos operativos diarios de una \ 4 inherentemente esos riesgos; y e + Responder y se adaptarse automdticamente a los cambios para hacer frente a At los nuevos riesgos y reducir continuamente la exposicién a los mismos 14)NS ee OR CLAUSULA 7: SOPORTE La clausula 7 se refiere a los recursos. Esto se aplica a las personas, infraestructura, medioambiente, recursos fisicos, materiales, herramientas, entre otros. También existe un enfoque renovade en el conocimiento como un recurso importante dentro de su organizacién. Cuando planifique sus objetivos de calidad, una consideracién importante sera la capacidad actual y la capacidad de sus recursos, asi como aquellos recursos de proveedores/organizaciones. externas.NS ee OR ULA 8: OPERACION Es probable que muchos de estos procesos ya existan y simplemente nnecesiten modificaciones para incluir elementos relevantes para la seguridad de Ja informacion. Otros procesos pueden ser ad-hoc (por ejemplo, aprobaciones de proveedores), o no existir aun (por ejemplo, ‘uditoria interna) J oe i =CLAUSULA 9: EVALUACION DEL DESEMPENO Existen 3 formas para evaluar el rendimiento del SGSI + Seguimiento de la efectividad de los controles de SGSI + Auditorias internas. + Durante la revision por la direcci6n,WSLS. CLAUSULA 10: MEJORA El objetivo de la implementacion del SGSI debe ser reducir la probal que ocurran eventos de seguridad de la informacién. asi como su impacto. Ningiin SGSI es perfecto, sin embargo, dichos sistemas de gestidn mejoran con el tiempo y aumentaran la resistencia frente a los ataques de seguridad de la informacién. No conformidad y accién correctivan me (6) —¢ [a U)