Documentos de Académico
Documentos de Profesional
Documentos de Cultura
27004
Grupo #3
1
Integrantes
Andy Marbeth Nuñez Mazariegos
Francis Mirella Castellanos Reyes
Henry Omar Rodriguez
Martín Rascel Orellana Salazar
Jose Augusto Soto Cabales
Anner Adalid Cruz Ponce
2
¿Qué es ISO 27004?
Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares creados
y gestionados por la Organización Internacional para la Estandarización (ISO) y la
Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están
participadas por multitud de países, lo que garantiza su amplia difusión, implantación
y reconocimiento en todo el mundo.
En especifico las normas ISO 27004 proporciona una pauta orientada a la correcta
definición y establecimiento de métricas que permitan evaluar de forma correcta del
rendimiento del SGSI
3
¿Por qué
implementar?
4
Implementación
La norma ISO 27004 posibilita una variedad de
mejores prácticas para la medición de los
resultados de un Sistema de Gestión de la
Seguridad de la Información (SGSI) en ISO
27001.
5
Enfoque
La norma tiene como misión desarrollar todos los
aspectos que deben ser considerados para poder
“medir” el cumplimiento de la norma ISO 27001.
6
Alcance
7
¿Cuál es el alcance?
9
Método
10
Aplicación del método
11
Elaboración de un programa de medición de un sistema de gestión.
12
Involucrados
Ing. Danilo
Ing. Roberto
Mendez
Almendares
Infraestructura
Software
13
Análisis y gestión
de riesgos
14
Análisis de riesgos
01 02 03 04
ACTIVOS VULNERABILIDADES AMENAZAS MAYORES RETOS
• Hardware • Falta un sistema de • Fuego • Determinar riesgos
• Software extinción de fuego • Terremotos • Determinar el alcance
• Información • Faltan software antivirus • Virus informáticos • Consensuar criticidad
• Infraestructura • Equipamiento obsoleto • Atacantes de activos
• Personas • Falta de recambio • Hacker • Considerar todos los
riesgos
15
Visión general de la medición de seguridad de la información
16
Entradas y salidas de las mediciones en un ciclo SGSI-PHVA de gestión de seguridad de la información
17
Evidencia
• Nulo seguimiento en consolas de SGSI
• Dashboard no adecuados para el fortalecimiento de la
seguridad de información
• Vulnerabilidades en equipos desactualizados
• Eventos de ataques e infecciones a causa de
desinformación a los usuarios
18
EJEMPLO PRACTICO
Programa de medición:
19
ATRIBUTOS:
20
INDICADORES:
● Nivel de respuesta
● Nivel de compromiso
● Nivel de Conocimiento
21
INFORME RESULTADOS MEDICION:
22
INFORME RESULTADOS MEDICION:
23
INFORME RESULTADOS MEDICION:
24
INFORME RESULTADOS MEDICION:
25
EVENTOS DE ATAQUES E INFECIONES A EQUIPOS
26
SOLUCION:
• Se habla y se expone a la alta gerencia la necesidad de
Software avalado, (SGSI) el cual se adapte a una verificación
eficaz.
• Reforzar con capacitaciones a el personal técnico como
administrativo de la institución.
• Cubrir toda la Red y la estructura Organizacional con
mejores prácticas de seguridad.
• mayores campañas de concientización de la internet y su
uso ya que es un tema de seguridad en la institución.
27
GRACIAS
por su atención!
28