INTEGRANTES:

 Génesis Ayala
 Bárbara Gallegos
 Ana López
 Tatiana Revelo
SEGURIDAD DE LA INFORMACIÓN

Conjunto de
medidas

Buscando mantener:
• Confidencialidad
• Disponibilidad
1.- Preventivas
• Integridad de los datos y
2.- Reactivas de la misma

Que permiten:
Organizaciones y
sistemas • Resguardar
tecnológicos • Proteger (la
información)

La información es poder, y según
las posibilidades estratégicas que
ofrece tener acceso a cierta
información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la
empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas
autorizadas

En este contexto, normalmente escuchamos y manejamos dos

palabras muy importantes que son riesgo y seguridad de la
información:

Riesgo: Es la materialización de Seguridad: Es una forma de protección contra los riesgos. La

vulnerabilidades identificadas, asociadas con
su probabilidad de ocurrencia, amenazas
expuestas, así como el impacto negativo que
ocasione a las operaciones de negocio.
correcta gestión de la seguridad de la información busca
establecer y mantener programas, controles y políticas,
que tengan como finalidad conservar la confidencialidad,
integridad y disponibilidad de la información, si alguna de
estas características falla no estamos ante nada seguro.
¿QUÉ ES LA ISO 27001?

 Es un estándar ISO que proporciona un modelo para

establecer, implementar, utilizar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de
la Información (SGSI).
 ISO/IEC 27001 es la única norma internacional auditable que
define los requisitos para un sistema de gestión de la seguridad
de la información (SGSI).
 La norma se ha concebido para garantizar la selección de
controles de seguridad adecuados y proporcionales.
EXISTEN UNA SERIE DE ISO 27001 LAS CUALES SE DIFERENCIA POR
LO SIGUIENTE:

 Cada norma está diseñada con un

enfoque preciso:
1. Si desea crear la estructura de la seguridad
de la información en su organización y
definir su encuadre, debería usar la ISO
27001
2. Si desea implementar controles, debería
usar la ISO 27002
3. Si desea realizar la evaluación y
tratamiento de riesgos, debería usar la ISO
27005
 PARA IMPLEMENTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN

 Se deben utilizar las dos normas, es decir:

ISO 27001  La ISO 27001 en la que se describe el ciclo PHVA de gestión de
ISO 27002 sistemas.
 El estándar internacional ISO27002 en la que encontramos la guía
de implantación de los diferentes tipos de controles de seguridad.

La norma tiene 11 dominios diferentes de controles que
pretenden cubrir todos los ámbitos de una entidad donde
debe existir la seguridad de la información.
Los dominios se encuentran divididos en 39 objetivos
de control que, a su vez, abarcan 133 controles de
seguridad.
Se deben seleccionar los diferentes controles que se deben
llevar a cabo para definir el plan de tratamiento de riesgos,
se debe nutrir de los 133 controles que encontramos en la
norma ISO 27002. El anexo A del estándar
internacional ISO27001 engloba una lista con los
diferentes controles que sirven de unión entre ambas
normas internacionales.
  Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

Planificar
Establecer
Mantener y Actuar
Mejorar el
el SGSI
SGSI
Partes Partes
Interesadas Interesadas
ISO 27001

Requisitos y
Implementar Seguridad
expectativas y Monitorear Gestionada
operar el el SGSI
Hacer SGSI Verificar

7
 (PLANIFICAR /HACER /VERIFICAR /ACTUAR)

 El SGSI adopta el siguiente modelo:

Implantar el plan de gestión de riesgos

Definir la política de seguridad
Implantar el SGSI
Establecer el alcance del SGSI Planificar
Hacer Implantar los controles.
Realizar los análisis de riesgos
Implantar indicadores.
Seleccionar los controles PHVA
Revisiones del SGSI por parte de
Adoptar acciones correctivas Actuar
Verificar la Dirección.
Adoptar acciones preventivas Realizar auditorías internas del SGSI

8
5 ASPECTOS IMPORTANTES SOBRE LA IMPLEMENTACIÓN ISO 27001
GUÍA EN LA ERA DE LA CIBERSEGURIDAD ISO 27002
COBIT 5

Proporciona un marco integral que ayuda a las

Organizaciones a lograr sus metas y entregar
valor mediante un gobierno y una
administración efectivos de la TI de la
organización.
 COBIT 5
“UN MARCO DE NEGOCIO PARA EL
GOBIERNO Y LA GESTIÓN DE LAS TI DE LA
EMPRESA”

Ayuda a las Gestiona eficaz la información.

empresas a
crear valor
óptimo. Orienta en el ámbito de la innovación y tecnologías
emergentes.

Mejora las necesidades del negocio y metas de TI.

 COBIT 5

Un marco efectivo

Serie
holística

Optimizan la
inversión
 LOS 5 PRINCIPIOS DEL COBIT 5

1.Satisfacer las
necesidades de
las Partes
Interesadas

2.Cubrir la
5.Separar el
empresa
Gobierno de
Extremo a
la Gestión
Principios Extremo
del COBIT
5

3.Aplicar un
4.Hacer
Marco de
posible un
Referencia
Enfoque
Único
Holístico
Integrado
IMPLANTACIÓN DEL COBIT 5
 SIMILITUDES ISO 27001---- COBIT 5

IMPLEMENTACIÓN
NEUTRALIDAD
ORIENTADO A DE SEGURIDAD
TECNOLÓGICA EN
PROCESOS (GESTIÓN DE
LOS PROCESOS
RIESGO)
DIFERENCIAS
ISO 27001 tiene controles para cubrir la protección
de la información, independientemente de dónde se
encuentre.
ISO 27001 es el estándar líder mundial para la
gestión de la seguridad de la información.
ISO 27001 va más allá de TI.
COBIT centra sus controles en las tecnologías de la
información, que cubren no solo los controles de
seguridad de la información, sino también los
controles relacionados con las operaciones de TI.
COBIT es el marco de facto adoptado por las
organizaciones de todo el mundo cuando hablamos
de gobernanza y gestión de la tecnología de la
información.
 Capacidad del Proceso basado en ISO/IEC
Nivel del Modelo de Madurez de COBIT 4.1 15504 Contexto

5 Optimizado- . Las TI se usan de forma integra Nivel 5: Proceso Optimizado-El proceso

COMPARACIÓN DEL COBIT 4.1 Y COBIT 5
por automizar los flujos de trabajo, proporcionando predecible del nivel 4 es mejorado continuamente
herramientas para mejorar la calidad y la

TABLA
efectividad, haciendo a la empresa rápida para
adaptarse.
4 Gestionado y Medible- Los procesos están
para alcanzar metas de negocio actuales y futuros
Punto de Vista de la
Nivel 4: Proceso Establecido- El proceso Empresa-
establecido del nivel 3 es operado y ahora dentro Conocimiento

COMPARATIVA
bajo constante mejora y proporcionan buenas de unos límites definidos par alcanzar sus resultados. Corporativo
prácticas.

3 Procesos Definidos- Se han estandarizado, Nivel 3: Procesos Establecidos-El proceso del

documentado y comunicado los procedimientos nivel 2 se implementa usando un proceso definido

COBIT 4.1
mediante formación. que es capaz de alcanzar objetivos.

Nivel 2: Proceso Gestionado: El proceso

ejecutado del nivel 1 es implementado de forma
gestionada (planificado, supervisado y ajustado) y
sus resultados son debidamente establecidos,

VS
controlados y mantenidos.
2 Repetible pero Intuitivo- Los procesos están
desarrollados hasta el punto que procedimientos
similares son seguidos por personas diferentes
Nivel 1: Proceso Ejecutado-El proceso

COBIT 5
ejecutando la misma tarea. Punto de Vista de la
implementado alcanza su objetivo.
Instancia-
Comentario: Es posible que algunos procesos
Conocimiento
clasificados como nivel 1 del Modelo de
1 Inicial/ Ad Hoc- Hay evidencia de que la Individual
Madurez sean clasificados nivel 0 por ISO/IEC
empresa reconoce que existe el problema y que hay 15504 si los objetivos no son alcanzados
que abordrlo. Sin embargo, no hay procesos
estandarizados.La aproximación general a la gestión
es desorganizada.
0 Inexistente- Ausencia completa de cualquier
Nivel 0: Proceso Incompleto-El proceso no está
proceso reconocible. La empresa ni siquiera ha
implantado o no alcanza sus objetivos
reconocido que hay un problema que gestionar
DATOS CURIOSOS..!!!
ITGI encargó a PwC un proyecto de investigación de mercado sobre el gobierno de TI, con más de 800 encuestados
de sectores de TI y negocio de 21 países. COBIT

REDUCCIÓN DE COSTES DE TI
MEJORA DE LA COMPETITIVIDAD DE NEGOCIO
MEJOR RETORNO DE LAS INVERSIONES EN TI
DATOS CURIOSOS..!!!
ITGI encargó a PwC un proyecto de investigación de mercado sobre el gobierno de TI, con más de 800 encuestados
de sectores de TI y negocio de 21 países.
COBIT

MEJORA GESTION DE RIESGO MEJORA COMUNICACIÓN

MEJORA ENTREGA DE TI METAS