Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso27001 - Sifce
Iso27001 - Sifce
INFORMACIÓN
NORMAS VIGENTES
Temas a Desarrollar
• Términos y Definiciones
• Ejemplos de Incidentes relativos a la SI
• Sistema de Gestión de Seguridad de la Información
• Beneficios Empresariales de un SGSI
• Implementación de la Norma
• Ciclo PDCA
• Factores Críticos de Éxito
• Sistema de Gestión Integrados
• Proceso de certificación ISO 27001
• Beneficios de la certificación
• Aporte de la ISO / IEC 27001:2005
Términos y definiciones
Sistema:
“Conjunto de elementos interrelacionados o que actúan
entre sí”.
ISO 9000, claúsula 3.2.1
Trabajar sistemáticamente:
Para ser efectivos, las cosas deben estar organizadas de
una manera adecuada/práctica y deben hacerse de
acuerdo a cierta secuencia.
Términos y definiciones
Sistema de gestión:
Sistema de gestión:
Provee un marco alrededor del cual las personas pueden
operar para que la organización logre los resultados
deseados, de una manera efectiva y eficiente.(el modo en
que queremos que se hagan las cosas!!!). Para que un SG
sea efectivo, la organización debe:
•Verificar que está logrando y manteniendo los niveles
apropiados de desempeño y
La seguridad de la información es
responsabilidad de todos los niveles de la
dirección. Al implementar un SGSI, la
organización está mejor equipada para
gestionar riesgos vinculados a la seguridad de
la información y se beneficiará.
Beneficios de la implementación
de un SGSI
Identificación de
Reducción de activos críticos
la publicidad mediante
Mejor
desfavorable evaluación de
clasificación riesgos
de riesgos
Beneficios de la implementación
de un SGSI
PLANIFIQUE HAGA
ACTÚE VERIFIQUE
El Círculo de Deming
Mejora Continua
PLAN: PLANIFIQUE
• Definir el alcance del SGSI
• Definir métricas
Objetivos
Cultura Institucional
Factores Críticos de Éxito
Compromiso de la Dirección
Apoyo visible
Factores Críticos de Éxito
Requisitos de Seguridad de la Infromación
Evaluación de Riesgos
Gestión de Riesgos
Factores Críticos de Éxito
Orientación
Respaldo Financiero
Factores Críticos de Éxito
Toma de Conciencia Apropiada
Capacitación
Educación
Factores Críticos de Éxito
Gestión de Incidentes
Antes de Continuar…
Escriba las respuestas a las siguientes preguntas:
Requisitos para
ISO 27001:2005
Certificación
Guía de implementación
ISO 27003 (en
SGSI y aplicación del
desarrollo)
PDCA
La Familia de Normas ISO 27000
Métricas y técnicas de
ISO 27004 (en
medida aplicables para
desarrollo)
determinar la eficacia y
efectividad del SGSI)
Proceso de acreditación de
entidades de certificación y ISO 27006:2007
registro SGSI
Uso sistemático de la
Análisis de información para identificar
Riesgos fuentes de riesgos y
estimarlo.
Análisis de
Riesgos
ENFOQUE
DE LÍNEA DE BASE
Análisis de
Riesgos
ANÁLISIS DETALLADO
DE RIESGOS
Evaluación de
Riesgos
Proceso general de análisis
y valoración de riesgos
Se valoran:
•Reducción de riesgos
•Evasión de riesgos
•Transferencia de riesgos
•Aceptación de riesgos
Gestión de Riesgos
Aceptación Proceso por el cual se acepta y
y comunicación comunica el riesgo que persiste,
aún después de tomar las medidas
de Riesgos necesarias para tratar los riesgos
Residuales identificados.
Controles y
Contramedidas
de Seguridad
Activos
Amenazas
Vulnerabilidades
Gestión de Riesgos (risk management)
Identificar y
Planificar
Definir: analizar Identificar:
Alcance, Activos,
Política y Vulnerabilidades
Metodología Amenazas y
Controles Análisis y
Analizar: valoración de
Riesgos riesgos (Risk
Costo / Beneficio Assessment)
Dirección
Decidir tratamiento de riesgos
Aceptar riesgo residual
Tratamiento de
Mitigar Transferir Aceptar Evitar
riesgos
riesgo riesgo riesgo riesgo
Visita Adicional
NO Auditoria SI
anual Emisión de
Aprobación Aprobación
de Certificado
Mantenimiento
SI NO
Visita
Adicional
Mantenimiento CICLO
de
Certificado PERIODICO
Esfuerzo de certificación
La organización debe evidenciar:
• Adherencia con su política de SGSI, objetivos y
procedimientos
• Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la
información
La auditoría de certificación se focaliza en:
• Evaluar los riesgos relativos a la seguridad de la información
y que esa evaluación produzca resultados comparables y
reproducibles
• La documentación obligatoria del requisito 4.3.1
• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.
55
Esfuerzo de certificación
La auditoría de certificación se focaliza en (continuación):
• Revisión de la eficacia del SGSI y las métricas de la eficacia de los
controles de seguridad de la información, reporte y revisión versus los
objetivos del SGSI
• Auditorías internas y revisiones de la Dirección
• Responsabilidad de la Dirección en función de la política de seguridad
de la información
• La correspondencia entre los controles seleccionados e implantados,
SOA, y los resultados de la evaluación y tratamiento de riesgos, y la
política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las métricas de la
eficacia de los controles de la organización, para determinar si los
controles implementados son efectivos para alcanzar los objetivos
establecidos
• Programas, procedimientos, registros, auditorías internas, y revisiones
de la eficacia para asegurar que son trazabables hacia la gestión de
riesgos, la política y objetivos del SGSI
56
Beneficios de la certificación
• Asegura la eficacia de la gestión de la seguridad de la información a
través del cumplimiento de una norma de reconocimiento
internacional
• Facilita el apoyo de la Dirección
• Mejora la conciencia, responsabilidad y sensibilización del personal
hacia la seguridad de la información
• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y cumplimiento de
leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de
negocio a través de la gestión de los mismos y no por la compra
sistemática de productos y tecnología (revisión de los riesgos y
controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión como SGC y SGA
• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)
57
Ejercicio
Identificar beneficios que aportaría la
implementación de un SGSI en su
organización.