Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

No description
by

Néstor Tello

on 11 November 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

NTP-ISO/IEC 27001:2008
MODELO DE GESTIÓN
Se basa en el ciclo PDCA
¿Qué es la norma ISO/IEC 27001?
La norma “ISO/IEC 27001:2005- Information Technology Security techniques”, es la evolución certificable del código de buenas prácticas ISO 17799.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
ORIGEN NORMA ISO/IEC 27001
CONTENIDO DE LA NORMA NTP-ISO/IEC 27001:2008
Introducción.
Alcance.
Referencias normativas.
Términos y definiciones.
Sistema de Gestión de Seguridad de la Información.
Responsabilidad de la Gerencia.
Auditorías internas del ISMS.
Revisión Gerencial del ISMS.
Mejora del ISMS.
Antecedentes.
Anexos
Anexo A: Objetivos de control y Controles
Anexo B: Principios OECD y esta norma.
Anexo C: Correspondencia entre la norma ISO9001:2000, ISO 14001:2004 y esta norma.

Bibliografía
SGSI
Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad de la información.
¿QUÉ APORTA LA CERTIFICACIÓN ISO/IEC 27001?
Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799.
CONFIDENCIALIDAD
Acceso a la información por parte únicamente de quienes estén autorizados.
DISPONIBILIDAD
Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.
INTEGRIDAD
Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Avala la adecuada implantación, gestión y operación de un SGSI, siendo la norma más completa que existe en la implantación de controles, métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones.
2000
2002
2008
2005
1998
1995
ISO/IEC 17799:2000
PARTE 1 SE ADOPTA COMO ISO
BS7799-2:2002
SEGUNDA REVISIÓN DE LA PARTE 2
ISO/IEC 17799:2005
REVISIÓN DE ISO 17799.
NTP-ISO/IEC 27001:2008
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS.
BS 7799 PARTE 1
CÓDIGO DE BUENAS PRÁCTICAS
BS 7799 PARTE 2
ESPECIFICACIÓN DE SGSI
1999
BS7799-1:1999
BS7799-2:1999
REVISIÓN DE LAS PARTES 1 Y 2
JUNIO 2005
ISO/IEC 27001:2005
PARTE 2 SE ADOPTA COMO ISO
OCT. 2005
2007
NTP-ISO/IEC 17799:2007
CÓDIGO DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
1998
1995
1999
2000
2002
2007
2008
BENEFICIOS
PARA LA ORGANIZACIÓN:
Confianza sobre la gestión de la seguridad.
Garantía de “calidad de la seguridad” gracias a la mejora continua.
Garantía de continuidad del negocio y reducción de riesgos.
Garantía del cumplimiento con la legislación vigente
PARA EL NEGOCIO:
Una entidad externa a la organización (Entidad de Certificación) certifica que el sistema está correctamente implantado.
Aumento del valor comercial y mejora de la imagen frente a clientes y proveedores.
Diferenciación con respecto a la competencia.
Proporcionar controles de seguridad
adecuados para activos de información.
Permite gestionar Seguridad en el contexto del riesgo que
afronta la organización.
PLAN
DO
CHECK
ACT
Definir el alcance
Definir una política del SGSI (que puede incluir la política de seguridad).
Aprobación para riesgo residual.
RIESGOS
Definir un enfoque Sistemático para la evaluación del riesgo
Metodología (resultados comparables y reproducibles).
Criterios de aceptación del riesgo.
Identificar los riesgos (activos, amenazas, vulnerabilidad, impacto)
Analizar y evaluar los riesgos (daños posibles, probabilidad de
ocurrencia, estimación niveles de riesgo,
aceptabilidad del riesgo).
Identificar y evaluar opciones de tratamiento del riesgo (controles,
asumir, evitar, transferir)
Seleccionar objetivos de control y controles para tratar el riesgo (del
Anexo A, y opcionalmente otros adicionales)
Autorización para implementar y operar el SGSI.
Preparar Declaración de Aplicabilidad
IMPLEMENTAR Y OPERAR
Formular un plan de tratamiento de riesgos (acciones, recursos,prioridades, responsabilidades, costes,….)
Implementar el plan de tratamiento.
Implementar los controles seleccionados.
Definir cómo medir la efectividad de los controles.
Implementar programas de capacitación y concientización (las personas, punto débil).
Gestionar la operación y los recursos del SGSI.
Implementar procedimientos y controles para detectar rápidamente eventos de seguridad y responder a incidentes de seguridad.
Ejecutar procedimientos de monitoreo y otros controles para:
– Identificar brechas e incidentes.
– Permitir a la gerencia conocer si las actividades de seguridad se realizan adecuadamente.
– Ayudar a detectar eventos y prevenir incidentes, mediante el uso de indicadores.
– Determinar si las acciones para resolver una violación de seguridad fueron efectivas.
Revisar regularmente la efectividad del ISMS (cumplimiento de política de seguridad, objetivos, resultados de auditorías, incidentes, sugerencias…).
Medir la efectividad de los controles para cumplir los requisitos de seguridad (indicadores).
Revisar la evaluación de riesgos periódicamente, junto con el riesgo residual y aceptable.
Actualizar planes de seguridad tomando en cuenta resultados de monitoreo y revisión de actividades
Registrar acciones que podrían impactar en la efectividad del SGSI.
Monitorear y revisar el ISMS
Realizar auditorías internas periódicas
Revisión administrativa del SGSI (confirmar que el alcance es adecuado, mejoras al proceso,..)
Mantenimiento y mejora
Implementar las mejoras identificadas.
Tomar acciones correctivas y preventivas. Aplicar lecciones aprendidas.
Comunicar acciones y resultados a las partes interesadas
Garantizar que las mejoras alcanzan los objetivos previstos.
DOCUMENTACIÓN OBLIGATORIA
Política de Seguridad y objetivos de seguridad
El alcance del ISMS
Metodología de evaluación del riesgo
Informe de evaluación del riesgo
Procedimientos documentados.
POSIBLES POLÍTICAS Y NORMATIVAS
POSIBLES PROCEDIMIENTOS A DOCUMENTAR
Registros para demostrar evidencias de conformidad con los requisitos.
Procedimiento de gestión de documentación y registros.
Procedimiento de gestión de incidentes.
Plan de capacitación y concientización.
Plan de auditoría interna.
Plan de revisión del SGSI por la gerencia.
Procedimiento de acciones correctivas y preventivas.
Declaración de Aplicabilidad.
Gestión de Activos
Clasificación de Activos
Seguridad del Personal
Seguridad Física y de Acceso al Centro de Cómputo
Seguridad Física del
Equipamiento
Explotación: Operación y
Administración de Sistemas
Seguridad de la Red, Servicios de Red y Perímetro
Copias de Seguridad
Gestión de Soportes
Retención de la Información
Protección de la Información
Gestión de Cuentas y Proceso de Autorización de Acceso Lógico
Control del Acceso a Sistemas, Redes y Aplicaciones
Aceptación de Nuevos Sistemas y Productos
Comunicación y Gestión de Incidencias
Recuperación de Desastres del Sistema
Cumplimiento Legal
Auditorias y Registro de los Sistemas
Etiquetado y Clasificación de activos
Gestión de soportes
Acceso físico a sistemas de información
Emisión y control de pases de visita
Baja de equipos y soportes
Alta, baja y modificación de cuentas de usuario
Acceso a través de redes y acceso remoto
Comunicación, gestión y respuesta ante incidentes
Gestión de cambios y versiones
Copias de seguridad
Restaurado de la información
Adquisición, aceptación o autorización de nuevos sistemas
Puesta en producción de sistemas de información
Auditoría y registro (logs) de sistemas
Gestión de vulnerabilidades técnicas
Etiquetado del cableado
CONTROLES DE SEGURIDAD
El anexo A contiene un conjunto de controles de seguridad que deben
seleccionarse obligatoriamente.

Se corresponde con los recogidos
en la norma NTP-ISO/IEC 17799:2007
NTP-17799:2007
Incluye 11 cláusulas, o dominios de seguridad, que incluyen 39
categorías (aspectos de aplicación de seguridad) que, a su vez,
incluyen 133 controles de seguridad.
Cada categoría incluye:
– un objetivo de control, declarando lo que se debe alcanzar
– uno o más controles que deben aplicarse para lograr el objetivo
DOMINIOS DE SEGURIDAD
LA CERTIFICACIÓN
Certificar el sistema de gestión es una forma de verificar que los procedimientos de gestión y los mecanismos establecidos están en línea con la normativa internacional.
La certificación constituye un elemento motivador y que transmite imagen hacia los clientes de la organización.
No obstante, la certificación en sí misma no debe ser un fín. Lo importante realmente es contar con un sistema de gestión de la seguridad.
¿CUÁNDO?
NTP-ISO/IEC 27001, la situación del riesgo sea razonable y exista un plan de mejora.
No es preciso tener un sistema excesivamente maduro. Se trata de un proceso de mejora continua.
Una vez que se ha llegado a un cierto nivel en la gestión y en el estado del riesgo, el ir más allá puede ser costoso, complejo y dilatado en el tiempo.
Full transcript