Post on 13-Jul-2015
ISO 27001 Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos:− Capital Humano− Impresa o escrita en papel− Dispositivos de almacenamiento (Discos,
CDs, etc…)− Oral (teléfono, móvil, etc.)− Video, fotos
Qué es Información?
ISO 27001
La Información en las Empresas
Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
ISO 27001
La Información en las EmpresasEstos activos pueden ser clasificados de la siguiente forma:
• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización• Servicios (comunicaciones, etc.)
ISO 27001
Confidencialidad
Integridad
Disponibilidad de la información
La seguridad de información se caracteriza por la preservación de:
Qué es seguridad de la Información?
ISO 27001
Identificación de AmenazasTipos de Amenazas
Amenazas
Naturales
Amenazas a Instalaciones
Amen
azas
Tecnol
ógica
s
Amenazas Sociales
Amenazas
Humanas
Amen
azas
Ope
raci
onal
es
ISO 27001
VulnerabilidadesTipos de Vulnerabilidades
Gestión operaciones
y comunicación
Seguridad de los recursos humanos
Man
tenim
iento
,
desar
rollo
de S
ist. d
e
info
rmac
ión
Seguridad física y ambiental
Con
trol
de
Acc
eso
ISO 27001
¿Seguridad de la Información ?• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
ISO 27001
1Planificar
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
ISO 27001
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
1Planificar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.• Definir el enfoque de evaluación del riesgo de
la organización.• Establecer metodología de cálculo del riesgo.• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance establecido.
• Analizar y evaluar los riesgos encontrados.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.• Identificar y evaluar las opciones de tratamiento de los
riesgos.• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.• Evitarlo.• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
ISO 27001
1Planificar
3Revisar
4Actuar
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
2Hacer
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Hacer.• Plan de tratamiento del riesgo.• Implementar el plan de tratamiento del riesgo.• Implementar controles seleccionados.• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.• Implementar programas de capacitación.• Manejar las operaciones y recursos del SGSI.• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
ISO 27001
1Planificar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
3Revisar
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.• Identificar los incidentes y violaciones de seguridad.• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Medición de la efectividad de los controles.• Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.• Realizar auditorías internas al SGSI.• Realizar revisiones gerenciales.• Actualizar los planes de seguridad a partir de resultados
del monitoreo.
• Registrar las acciones y eventos con impacto sobre el SGSI.
ISO 27001
1Planificar
3Revisar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
4Actuar
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Actuar.• Implementar las mejoras identificadas en el
SGSI.• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las partes interesadas.
• Asegurar que las mejoras logren sus objetivos señalados.
ISO 27001
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
• Medir el desempeño del SGSI.• Identificar mejoras en el SGSI a fin de implementarlas.• Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
ISO 27001
Estructura de la Documentación Requerida
Nivel IV
Nivel I
Nivel III
Nivel II
Enfoque de la GerenciaPolítica, Alcance, Evaluación Riesgo
Manual de Seguridad
Descripción de procesos,Quién hace qué y cuándo
Procedimientos
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Provee evidencia objetiva de la conformidad con SGSI
Registros
ISO 27001
Factores Claves de Éxito en la Implementación de un SGSI
• Política de seguridad documentada y alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta gerencia.
• Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
• Compatibilidad con la cultura organizacional.
• Entrenamiento y educación.
ISO 27001
Conclusiones• Hoy en día las organizaciones
dependen en gran medida de su tecnología y sus activos de información.
• Por lo anterior, impera una protección adecuada a las informaciones importantes.
• Seguridad no es un producto, es un proceso que debe ser administrado.
ISO 27001
Conclusiones
• Nada es estático, la seguridad no es la excepción. Mejora continua.
• Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.