Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

NORMA ISO 27002

No description
by

Franklin Enriquez

on 23 January 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NORMA ISO 27002

La ISO/IEC 27002:2005 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:
a) Política de seguridad.
b) Aspectos organizativos de la seguridad de la información.
c) Gestión de activos.
d) Seguridad ligada a los recursos humanos.
e) Seguridad física y ambiental.
f) Gestión de comunicaciones y operaciones.
g) Control de acceso.
h) Adquisición, desarrollo y mantenimiento de los sistemas de información.
i) Gestión de incidentes en la seguridad de la información.
j) Gestión de la continuidad del negocio.
k) Cumplimiento.
Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.
La reducción de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueños o administradores de la empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad de gran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando la rentabilidad).
Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.

Evaluación de los riesgos de seguridad ISO 27002 Política de seguridad Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.
El Documento de la Política de Seguridad de la Información debe contar con un claro lineamiento de implementación, y debe contener partes tales como una definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación y gestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.)
Alcance Términos y definiciones En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en el Glosario, que son las definiciones de:
Activo
Control
Lineamiento
Medios de procesamiento de la información
Seguridad de la información
Evento de seguridad de la información
Incidente de seguridad de la información
Política
Riesgo
Análisis de riesgo
Evaluación del riesgo
Gestión del riesgo
Tratamiento del riesgo
Tercera persona
Amenaza
Vulnerabilidad
Estructura de este Estándar
Full transcript