Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Dad SRH Pre 001 001

    Cargado por

    smartreasons
    7 vistas13 páginas

    Título original

    DAD.SRH.PRE.001.001

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas13 páginas

    Dad SRH Pre 001 001

    Cargado por

    smartreasons

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 13

    Capacitación en Seguridad de la Información primera parte: Introducción a la

    Norma ISO 27001:2013


    Enero 2019
    Descripción General – ISO 27001:2013

    Estándar para la seguridad de la información:

    • ¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?: Es el conjunto de medidas


    preventivas y reactivas de​las organizaciones y de los sistemas
    tecnológicos

    • PRINCIPAL OBJETIVO: Asegurar la protección de la confidencialidad, la


    integridad y la disponibilidad de la información de los interesados.
    a) Confidencialidad
    b) Integridad
    c) Disponibilidad

    Existen 114 en la ISO, pero para ser OSE solo se requiere cumplir 60
    controles específicos.
    Seguridad Informática (37%)
    Seguridad Física
    Gestión de Recursos
    Humanos
    Protección Legal
    Organización
    Operaciones
    = Seguridad de la
    Información
    Procesos
    Activos
    Gestión de Recursos Físicos
    (papeles y documentos físicos)
    Fases de la ISO 27001:2013
    Identificar todas las cuestiones internas (recursos, procesos, etc) y externas (partes
    interesadas, entorno político, económico, cultural, tecnológico y competitivo )
    Identificar las partes interesadas incluyendo leyes aplicables, regulaciones, contratos,
    etc.
    Definir el alcance del SGSI
    RIESGOS CONTROLES
    Incumplimiento de las Leyes A.18.1.1 Identificación de requisitos
    y Regulaciones contractuales y de legislación aplicables

    Violación de la privacidad de A.15.1.1 Política de seguridad de la


    los proveedores información para las relaciones con los
    proveedores
    Ingeniería Social A.13.2.4 Acuerdos de confidencialidad o no
    divulgación

    Contexto de la
    organización
    La administración debe demostrar liderazgo y compromiso por el SGSI
    Documentar la Política de Seguridad de la Información
    Asignar y comunicar los roles y responsabilidades de seguridad de la información

    RIESGOS CONTROLES
    A.6.1.1 Roles y responsabilidades para la
    Escalamiento de privilegios
    seguridad de la información
    Empleados Deshonestos A.7.2.3 Proceso disciplinario
    Violación a las políticas A.18.2.2 Cumplimiento de políticas y normas
    de seguridad
    A.9.2.3 Gestión de derechos de acceso
    privilegiados
    A.9.2.5 Revisión de derechos de acceso de
    usuarios
    Liderazgo A.9.4.1 Restricción de acceso a la información
    Declaración de aplicabilidad
    Acción de análisis, evaluación y tratamiento de riesgos de los activos.

    RIESGOS CONTROLES
    Riesgo no captado A.17.1.3 Verificación, revisión y
    evaluación de continuidad de
    seguridad de la información
    Violación de Contraseñas A.9.4.3 Sistema de gestión de
    contraseñas
    Keylogging A.11.2.8 Equipos de usuario
    desatendidos
    Port Scanning A.12.2.1 Controles contra códigos
    maliciosos
    Planificación Password Craking A.9.4.5 Control de acceso al código
    fuente de los programas
    Recursos
    Competencias (conocimientos y habilidades)
    Concientización
    Comunicación
    Información documentada (planes, políticas, informes, procedimientos, registros)
    RIESGOS CONTROLES
    Software Ilegal A.8.1.2 Propiedad de los activos
    Acceso clandestino a redes A.13.1.1 Controles de la red

    Error Humano A.7.2.2 Conciencia, educación y


    capacitación sobre la seguridad de
    la información
    Intercepción, modificación y A.13.2.1 Políticas y procedimientos
    violación de e-mails de transferencia de la información
    Acceso indebido a documentos A.11.1.3 Asegurar oficinas, áreas e
    Soporte impresos instalaciones
    Planificación y control operacional (procedimientos)
    Acción de análisis, evaluación y tratamiento de riesgos. (Revisión periodica)

    RIESGOS CONTROLES
    Destrucción de equipamiento A.17.1.2 Implementación de
    continuidad de seguridad de la
    información
    Interrupción de los servicios A.16.1.1 Responsabilidades y
    procedimientos
    Captura de PC desde el exterior A.11.1.4 Protección contra
    amenazas externas y ambientales
    Robo o extravió de notebooks A.12.3.1 Respaldo de la información

    Operación
    Realizar un seguimiento, medición, análisis y evaluación del SGSI y los controles
    Planificar y realizar una auditoría interna
    La administración realiza una revisión periódica del SGSI

    RIESGOS CONTROLES
    No cumplimiento de procedimientos A.18.2.1 Revisión independiente de
    implantados la seguridad de la información
    Falta de revisión de los controles A.17.1.3 Verificación, revisión y
    implantados evaluación de continuidad de
    seguridad de la información
    Documentación no actualizada A.17.1.2 Implementación de
    continuidad de seguridad de la
    información

    Evaluación del
    desempeño
    No conformidades y acción correctiva
    Mejora continua

    RIESGOS CONTROLES
    Estancamiento de la norma dentro A.17.1.1 Planificación de
    de la empresa continuidad de seguridad de la
    información
    Descontinuación del sistema de A.17.1.3 Verificación, revisión y
    gestión de seguridad de la evaluación de continuidad de
    información seguridad de la información

    Mejoras
    Resumen

    También podría gustarte