Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

ISO 27000

No description
by

Erick Meza

on 9 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 27000

photo (cc) Malte Sörensen @ flickr ¿Para qué se utiliza? Establecer una metodología de gestión de la seguridad clara y estructurada.
Reducir el riesgo de pérdida o robo de información.
Dar confianza a los clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. Introducción ¿Qué es la ISO/IEC 27000? Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información, utilizable para cualquier tipo de organización. Iso 27000 Introducción a la ISO 27000
Origen
La serie 27000
Contenido
Beneficios
¿Cómo adaptarse?
Aspectos claves Dar la posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,…).Dar una imagen de la empresa a nivel internacional.Reducir los costes y mejorar los procesos y servicios.Aumentar la motivación y satisfacción del personal. Origen La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 ISO 27000: contiene conceptos técnicos y de gestión.
ISO 27001: requisitos del sistema de gestión de la seguridad de la información.
ISO 27002: objetivos de control y controles recomendables.
ISO 27003: guía de implementación de SGSI y modelo PDCA.
ISO 27004: métricas y técnicas de medida en SGSI.
ISO 27005: directrices para la gestión de riesgo.ISO 27006: requisitos para la acreditación de entidades de auditoría. ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciber seguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. ISO 27034: Consiste en una guía de seguridad en aplicaciones.
ISO 27799: define directrices para apoyar la interpretación y aplicación enla salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
ISO 27001:2005 Contenido Introducción: generalidades e introducción al método PDCA.

Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.

Normas para consulta: otras normas que sirven de referencia.

Términos y definiciones: breve descripción de los términos más usados en la norma.

Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.

Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.

Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.

Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.

Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.

Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.

Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

Bibliografía: normas y publicaciones de referencia. ISO 27002:2005
(anterior ISO 17799:2005) Introducción: conceptos generales de seguridad de la información y SGSI.

Campo de aplicación: se especifica el objetivo de la norma.

Términos y definiciones: breve descripción de los términos más usados en la norma.

Estructura del estándar: descripción de la estructura de la norma.

Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
Política de seguridad: documento de política de seguridad y su gestión.

Aspectos organizativos de la seguridad de la información: organización interna; terceros.

Gestión de activos: responsabilidad sobre los activos; clasificación de la información.

Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.

Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión.
Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.

Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.
Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.

Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

Bibliografía: normas y publicaciones de referencia.
Esta norma establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.


Preámbulo
• Introducción
• Referencias normativas
• Términos y definiciones
• Breve descripción de los términos más usados en la norma.
• Estructura del estándar
• Descripción de la estructura de la norma.
• Fundamentos del proceso de gestión de riesgos (ISRM)
• Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
• Establecimiento del contexto
• Evaluación de riesgos (ISRA)
• Tratamiento de riesgos
ISO 27005:2008 Aceptación del riesgo
Comunicación del riesgo
Monitorización y revisión del riesgo
Anexo A: Definiendo el ámbito del proceso
Anexo B: Valoración de activos y evaluación de impacto
Anexo C: Ejemplos de amenazas más comunes
Anexo D: Vulnerabilidades y métodos de evaluación
Anexo E: Aproximación a ISRA Esta norma referencia directamente a muchas cláusulas de ISO 17021 requisitos de entidades de auditoría y certificación de sistemas de gestión.

ISO 27006:2007 Preámbulo: presentación de las organizaciones ISO e IEC y sus actividades.

Introducción: antecedentes de ISO 27006 y guía de uso para la norma.

Campo de aplicación: a quién aplica este estándar.

Referencias normativas: otras normas que sirven de referencia.

Términos y definiciones: breve descripción de los términos más usados en la norma.

Principios: principios que rigen esta norma.

Requisitos generales: aspectos generales que deben cumplir las entidades de certificación de SGSIs.
Requisitos estructurales: estructura organizativa que deben tener las entidades de certificación de SGSIs.

Requisitos en cuanto a recursos

Requisitos de información

Requisitos del proceso

Requisitos del sistema de gestión de entidades de certificación

Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector

Anexo B - Áreas de ejemplo de competencia del auditor

Anexo C - Tiempos de auditoría

Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005
ISO 27799:2008 Es un estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. Alcance
Referencias (Normativas)
Terminología
Simbología
Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Información sanitaria a proteger; Amenazas y vulnerabilidades) Plan de acción práctico para implantar ISO 17799/27002.

Implicaciones sanitarias de ISO 17799/27002

Anexo A: Amenazas

Anexo B: Tareas y documentación de un SGSI
Anexo C: Beneficios potenciales y atributos de herramientas
Anexo D: Estándares relacionados BENEFICIOS Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

Reducción del riesgo de pérdida, robo o corrupción de información.

Los clientes tienen acceso a la información a través medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Confianza y reglas claras para las personas de la organización.
Reducción de costes y mejora de los procesos y servicio.

Aumento de la motivación y satisfacción del personal.

Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
¿Cómo Adaptarse? Arranque del proyecto Planificación Implementación Seguimiento Mejora continua Fundamentales Aspectos Clave Compromiso y apoyo de la Dirección de la organización.
Definición clara de un alcance apropiado.
Concienciación y formación del personal.
Evaluación de riesgos exhaustiva y adecuada a la organización.
Compromiso de mejora continua.
Establecimiento de políticas y normas.
Organización y comunicación.
Integración del SGSI en la organización. La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités de dirección con descubrimiento continuo de no
conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio. Factores de éxito Riesgos Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

Temor ante el cambio: resistencia de las personas.

Discrepancias en los comités de dirección.

Delegación de todas las responsabilidades en departamentos técnicos.

No asumir que la seguridad de la información es inherente a los procesos de negocio.
Planes de formación y concienciación inadecuados.

Calendario de revisiones que no se puedan cumplir.

Definición poco clara del alcance.

Exceso de medidas técnicas en detrimento de la formación, concienciación y
medidas de tipo organizativo.

Falta de comunicación de los progresos al personal de la organización. Consejos básicos Mantener la sencillez y restringirse a un alcance manejable y reducido

Comprender en detalle el proceso de implantación

Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Dirección de la empresa.

La certificación como objetivo.
Full transcript