Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)
1
• Conceptos fundamentales.
– Seguridad de la información.
– Normas aplicables.
• Factores de Éxito.
• Anexos
– Términos.
– Caso
2
Conceptos Fundamentales
3
Información a Proteger
4
¿Riesgos?
5
Amenazas
Spamming
Intercepción y modificación y violación de e-mails
Violación de contraseñas
Captura de PC desde el
exterior
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería
Mails anónimos con agresiones
social
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms
Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
7 para terceros
Vulnerabilidades Comunes
8
Seguridad de la Información
9
¿Seguridad de la Información ?
10
¿Seguridad de la Información ?
11
Normas Internacionalmente reconocidas
Reconocimiento internacional
12
Normas aplicables
– ISACA: COBIT
– British Standards Institute: BSI
– International Standards Organization: Normas ISO
14
¿Cómo establecer los requisitos?
15
¿Las normas ISO/IEC 17799, ISO/IEC 27001?
¿Quien es quien?
16
Origen de la normativa
– 10 Áreas de Control
– 36 Objetivos de Control
– 127 Controles
18
¿ISO/IEC 27001 – ISO/IEC 17799?
• ISO/IEC 27001.
– Basada en la BS 7799:2
• Versiones actuales:
– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
19
ISO/IEC 17799:2000
• 10 Áreas de Control
– Política de Seguridad
– Aspectos organizativos para la seguridad
– Clasificación y control de los activos
– Seguridad ligada al personal
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Desarrollo y mantenimiento de sistemas
– Gestión de continuidad del negocio
– Conformidad
20
ISO/IEC 17799:2005
• 11 Áreas de Control
– Política de Seguridad
– Organización de la Seguridad de la Información
– Gestión de Activos
– Seguridad en los Recursos Humanos
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Adquisición, desarrollo y mantenimiento de sistemas de información
– Gestión de incidentes de seguridad
– Gestión de continuidad del negocio
– Conformidad
21
Certificados BS 7799-2 / ISO/IEC 27001
UNIT 17799:2
BS 7799 - 2
(2005)
23
Nuevas Versiones ISO/IEC
ISO/IEC ISO/IEC
BSI
ISO/IEC 27001
BS 7799 - 2
(2005)
24
SGSI - Modelo P-H-V-A
25
SGSI
• Incluye.
– Estructura, políticas, actividades, responsabilidades, prácticas,
procedimientos, procesos y recueros.
26
(Planificar /Hacer /Verificar /Actuar)
PlanificarEstablecer Mantener y
Actuar
el SGSI Mejorar el SGSI
Partes Partes
Interesadas Interesadas
Implementar y Monitorear
operar el SGSI el SGSI
Requisitos y Seguridad
expectativas
Hacer Verificar Gestionada
27
(Planificar /Hacer /Verificar /Actuar)
28
Establecer el SGSI (Plan)
29
Establecer el SGSI (Plan)
30
Implementar y operar (Do)
31
Implementar y operar (Do)
32
Monitoreo y Revisión (Check)
33
Monitoreo y Revisión (Check)
34
Mantenimiento y mejora del SGSI (Act)
35
Documentación del SGSI
PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las actividades
EXIGIDOS POR LA
NORMA
37
Objetivos de auditoria
38
Certificación del SGSI
39
Certificación del SGSI
• En cada País
– Actualmente en proceso de homologación por las instituciones locales.
– Opciones:
• (Ej. Uruguay) UNIT/ISO/IEC 27001:2006
• (Ej. España) AENOR UNE 71502
• ISO/IEC 27001.
• Internacionalmente
– El más amplio reconocimiento.
– Ampliamente reconocida a nivel profesional.
– Estándar de la industria.
– Requerida por importantes empresas a sus Proveedores.
40
Finalizando
41
Comencemos el proceso
42
Comencemos el camino.
• Sea conciente de los riesgos que están asociados a una acción o recurso.
43