Está en la página 1de 35

SISTEMAS DE GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN
NORMA ISO 27001

ING. MARCOS DUARTE

UNIDADES TECNOLOGICAS DE SANTANDER


SEDE BARRANCABERMEJA
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
NORMA ISO 27001

ASIGNATURA:

SISTEMAS DE INFORMACIÓN

UNIDADES TECNOLOGICAS DE SANTANDER


SEDE BARRANCABERMEJA
¿QUÉ ES LA ISO 27001?

Es una norma internacional emitida por la organización


internacional de normalización (ISO) y describe cómo
gestionar la seguridad de la información en una
empresa.
Iso 27001
La revisión más reciente de esta norma fue publicada
en 2013 y ahora su nombre completo es ISO/IEC
27001:2013.
la primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2.
ISO 27001 PUEDE SER IMPLEMENTADA EN:

• Cualquier tipo de organización.


• Con o sin fines de lucro.
• Privada o pública.
• Pequeña o grande.
Iso 27001
Está redactada por los mejores especialistas
del mundo en el tema y proporciona una
metodología para implementar la gestión de
la seguridad de la información en una
organización.
¿CÓMO FUNCIONA LA ISO 27001?

El eje central de ISO 27001 es proteger la


confidencialidad, integridad y disponibilidad
de la información en una empresa.
Como se hace?
 Investigando cuáles son los potenciales
problemas que podrían afectar la
información (es decir, la evaluación de
riesgos).

 Y luego definiendo lo que es necesario hacer


para evitar que estos problemas se
produzcan (es decir, mitigación o
tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma
ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego
tratarlos sistemáticamente.
LA INFORMACION EXISTE EN DIFERENTES
FORMATOS:
 Capital humano
 Impresa o escrita en papel
 Dispositivos de almacenamiento (discos,
cds, etc…)
 Oral (teléfono, móvil, etc.)
 Video, fotos.
LA INFORMACIÓN EN LAS EMPRESAS
Dentro de una empresa, la información es considerada
un activo (un recurso) que tiene valor o utilidad
para sus operaciones comerciales y su continuidad;
por esta razón, esta información necesita tener
protección para asegurar una correcta operación del
negocio y una continuidad en sus operaciones.
ACTIVOS
PUEDEN SER CLASIFICADOS DE LA SIGUIENTE FORMA:
• Activos de información (datos, manuales de usuario, etc.)
• Documentos en papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización
• Servicios (comunicaciones, etc.)
QUÉ ES SEGURIDAD DE LA INFORMACIÓN?
LA SEGURIDAD DE INFORMACIÓN SE CARACTERIZA POR LA PRESERVACIÓN DE:

CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD DE LA
INFORMACIÓN
IDENTIFICACIÓN DE
AMENAZAS
TIPOS DE AMENAZAS

Amenazas Humanas Amenazas


Operacionales
Amenazas a
Instalaciones Amenazas
Sociales
Amenazas Amenazas
Tecnológicas Naturales
VULNERABILIDADES
TIPOS DE VULNERABILIDADES

Control de Acceso Gestión operaciones


y comunicación

Mantenimiento, desarrollo de Seguridad física y


Sist. de información ambiental

Seguridad de los recursos


humanos
¿SEGURIDAD DE LA INFORMACIÓN ?

La Información Puede Estar:


• Impresa O Escrita En Papel.
• Almacenada Electrónicamente.
• Trasmitida Por Correo O Medios Electrónicos
• Mostrada En Filmes.
• Hablada En Conversación.

• Debe Protegerse Adecuadamente Cualquiera Que Sea La


Forma Que Tome O Los Medios Por Los Que Se Comparte O
Almacene.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo

“La información es un activo que, como otros activos


comerciales importantes, tiene valor para la
organización y, en consecuencia, necesita ser
protegido adecuadamente”.
“Un sistema de gestión de seguridad de información
(SGSI) es un sistema gerencial general basado en un
enfoque de riesgos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la
seguridad de la información”
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo

SEGURIDAD
DE
REQUERIMIENTOS
Y EXPECTATIVAS
INFORMACIÓ
DE LA SEGURIDAD N

DE INFORMACIÓN ADMINISTRAD
A
GESTIÓN SEGURIDAD INFORMACIÓN

ISO-27001:2005. MODELO
PREVENTIVO

REQUERIMIENTOS
SEGURIDAD DE
Y EXPECTATIVAS 1
INFORMACIÓN
DE LA SEGURIDAD
PLANIFICAR
ADMINISTRADA
DE INFORMACIÓN
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001 MODELO PREVENTIVO
• PLANIFICAR.
• Definir el enfoque de evaluación del riesgo de la
organización.
• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance establecido.
• Analizar y evaluar los riesgos encontrados.
GESTIÓN SEGURIDAD INFORMACIÓN

ISO-27001:2005. MODELO
PREVENTIVO

• Identificar y evaluar las opciones de tratamiento de


los riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de
aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles
sugeridos por la norma y/u otros que apliquen.
GESTIÓN SEGURIDAD INFORMACIÓN

ISO-27001:2005. MODELO
PREVENTIVO

4 1
ACTUAR PLANIFICAR
REQUERIMIENTOS
SEGURIDAD DE
Y EXPECTATIVAS
2 INFORMACIÓN
DE LA SEGURIDAD HACER
ADMINISTRADA
DE INFORMACIÓN
3
REVISAR
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• HACER.
• Plan de tratamiento del riesgo.
• Implementar el plan de tratamiento del riesgo.
• Implementar controles seleccionados.
• Definir la medición de la efectividad de los controles
a través de indicadores de gestión.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• Implementar programas de capacitación.
• Manejar las operaciones y recursos del SGSI.
• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO

4 1
ACTUAR PLANIFICAR
REQUERIMIENTOS SEGURIDAD DE
Y EXPECTATIVAS
3 INFORMACIÓN
DE LA SEGURIDAD REVISAR
ADMINISTRADA
DE INFORMACIÓN 2
HACER
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• REVISAR.
Procedimientos De Monitoreo Y Revisión Para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de
seguridad.
• Determinar la eficacia del SGSI.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones
correctivas tomadas para resolver una violación
de seguridad.
• Realizar revisiones periódicas.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• REVISAR.
• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo
periódicamente y revisar el nivel de riesgo
residual aceptable.
• Realizar auditorías internas al SGSI.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a
partir de resultados del monitoreo.
• Registrar las acciones y eventos con
impacto sobre el SGSI.
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
1
PLANIFICAR

REQUERIMIENTOS
SEGURIDAD DE
Y EXPECTATIVAS
4 INFORMACIÓN
DE LA SEGURIDAD ACTUAR
ADMINISTRADA
DE INFORMACIÓN

3 2
REVISAR HACER
GESTIÓN SEGURIDAD INFORMACIÓN
ISO-27001:2005. MODELO PREVENTIVO
• ACTUAR.
• Implementar las mejoras identificadas en el SGSI.
• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las partes
interesadas.
• Asegurar que las mejoras logren sus objetivos
señalados.
ESTRUCTURA DE LA DOCUMENTACIÓN
REQUERIDA
ENFOQUE
GERENCIA MANUAL DE
NIVEL I POLÍTICA, SEGURIDAD
ALCANCE,
EVALUACIÓN
RIESGO
Nivel II DESCRIPCIÓN DE
PROCESOS, PROCEDIMIEN
QUIÉN HACE QUÉ TOS
Nivel III Y CUÁNDO

DESCRIBE TAREAS
ESPECÍFICAS Y INSTRUCCIONES
Nivel IV CÓMO SE REALIZAN DE TRABAJO
PROVEE EVIDENCIA
OBJETIVA DE LA
CONFORMIDAD CON REGISTROS
SGSI
FACTORES CLAVES DE ÉXITO EN LA IMPLEMENTACIÓN
DE UN SGSI
• Política de seguridad documentada y alineada con los
objetivos del negocio.
• Apoyo y participación visible de la alta gerencia.
• Entendimiento de los requerimientos de seguridad,
evaluación y gestión de los riesgos asociados.
• Compatibilidad con la cultura organizacional.
• Entrenamiento y educación.
MUCHAS GRACIAS POR
SU AMABLE ATENCION.

También podría gustarte