Está en la página 1de 26

ISO 27001

SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN


ISO 27001
Base de datos
Integrantes: Francisco Bravo Pino Carlos Pavez Cartagena J. Alejandro Vilches Lastra

Qu es Informacin?
ISO 27001

Es un conjunto de datos acerca de algn suceso, hecho, fenmeno o situacin, que organizados en un contexto determinado tienen un significado y que tiene el propsito de reducir la incertidumbre o incrementar el conocimiento de algo.

Informacin existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos, CDs, etc) Oral (telfono, mvil, etc.) Video, fotos

La Informacin en las Empresas


ISO 27001

Dentro de una Empresa, la informacin es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razn, esta informacin necesita tener proteccin para asegurar una correcta operacin del negocio y una continuidad en sus operaciones.

La Informacin en las Empresas


ISO 27001

Estos activos pueden ser clasificados de la siguiente forma:

Activos de Informacin (datos, manuales de usuario, etc.) Documentos en Papel (contratos) Activos de software (aplicacin, software de sistema, etc.) Activos fsicos (computadores, medios magnticos, etc.) Personal (clientes, trabajadores) Imagen y reputacin de la organizacin Servicios (comunicaciones, etc.)

ISO 27001

Qu es seguridad de la Informacin?

La seguridad de informacin se caracteriza por la preservacin de:


Confidencialidad

Integridad

Disponibilidad de la informacin

Identificacin de Amenazas
Tipos de Amenazas
ISO 27001

Amenazas a Instalaciones

Amenazas Sociales

Vulnerabilidades
ISO 27001

Tipos de Vulnerabilidades
Control de Acceso

Seguridad de los recursos humanos

Seguridad fsica y ambiental

ISO 27001

Seguridad de la Informacin SGSI

Seguridad de la Informacin ?
ISO 27001

La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada. La informacin puede estar: Impresa o escrita en papel. Almacenada electrnicamente. Trasmitida por correo o medios electrnicos Mostrada en filmes. Hablada en conversacin.

Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo

La informacin es un activo que, como otros activos comerciales importantes, tiene valor para la organizacin y, en consecuencia, necesita ser protegido adecuadamente. Un Sistema de Gestin de Seguridad de Informacin (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


4 Actuar 1 Planificar

3 Revisar

2 Hacer

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


4 Actuar

1 Planificar
3 Revisar 2 Hacer

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


ISO 27001

Planificar. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Evitarlos Transferirlos Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobacin de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


4 Actuar 1 Planificar

2 Hacer
3 Revisar

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medicin de la efectividad de los controles a travs de indicadores de gestin. Implementar programas de capacitacin. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de deteccin y respuesta a incidentes de seguridad.

Hacer.

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


ISO 27001

4 Actuar

1 Planificar

3 Revisar
2 Hacer

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


Procedimientos de monitoreo y revisin para:
Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violacin de seguridad. Realizar revisiones gerenciales. Realizar auditoras internas

Revisar.

Realizar revisiones peridicas.

ISO 27001

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


1 Planificar

4 Actuar
3 Revisar 2 Hacer

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo


ISO 27001

Actuar.
Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos sealados.

ISO 27001

Seguridad de la Informacin SGSI

Mantenimiento y mejora del SGSI (Act)


ISO 27001

Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI. Medir el desempeo del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

Estructura de la Documentacin Requerida


ISO 27001

Nivel I

Enfoque de la Gerencia Poltica, Alcance, Evaluacin Riesgo

Manual de Seguridad

Nivel II

Descripcin de procesos, Quin hace qu y cundo

Procedimientos

Nivel III

Describe tareas especficas y cmo se realizan

Instrucciones de Trabajo

Nivel IV

Provee evidencia objetiva de la conformidad con SGSI

Registros

ISO 27001

Factores Claves de xito en la Implementacin de un SGSI

Poltica de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participacin visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluacin y gestin de los riesgos asociados. Compatibilidad con la cultura organizacional. Entrenamiento y educacin.

Conclusiones
ISO 27001

Hoy en da las organizaciones dependen en gran medida de su tecnologa y sus activos de informacin. Por lo anterior, impera una proteccin adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado.

Conclusiones
ISO 27001

Nada es esttico, la seguridad no es la excepcin. Mejora continua. Seguridad total no existe, pero s existe la garanta de calidad en un proceso de seguridad.

Preguntas y Respuestas
ISO 27001