Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Copy of ISO 27001

Resumen de Curso
by

Jacqueline Castro

on 2 February 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Copy of ISO 27001

Auditando un
Sistema de
Gestión de Seguridad
de la Información
Curso de
Auditor Líder
ISO/IEC 27001:2005 Visión General de la ISO 27001
Beneficios de un SGSI - ISO 27001 certificado
Marco de la ISO 27001
Auditando un Sistema de Gestión de Seguridad de la Información
Resumen del SGSI ISO 27001 Contenido Gestión de la Seguridad de la Información Visión General PROPÓSITO El propósito de un Sistema de Gestión de Seguridad de la Información es proteger los Activos de Información de la Organización identificando, evaluando y administrando los Riesgos presentados por las Amenazas y Vulnerabilidades El alcance incluye TI pero hay más…

Control de cambios de datos financieros (cuentas)
Control de divulgación de datos personales (webmaster, RH)
Conexión segura de clientes, partes en redes de computadores (3as partes)
Selección de antecedentes de personas (RH)
Entrenamiento de personas en seguridad de la información y otros (Entrenamiento)
Auditoria interna de la gestión de seguridad de la información (Equipo del SGSI)
Proceso de respuesta a incidentes, contención y resolución (Equipo del SGSI) Alcance de un SGSI La certificación con la ISO 27001 asegura a los clientes y Partes interesadas que la organización:
Identifica y administra los riesgos a los activos de información críticos
Continuamente evalúa y re-evalúa los riesgos de manera pro-activa y sistemática
Implementa controles de acuerdo con los riesgos
Sistemáticamente contiene y administra las fallas de seguridad
Audita el SGSI de manera independiente para verificar conformidad y eficacia Beneficios de un SGSI - ISO 27001 certificado Requisitos para la Implantación de un SGSI Prácticas, procedimientos o mecanismo para:

Proteger contra amenazas
Reducir vulnerabilidades
Limitar el impacto de un incidente
Proteger contra los riesgos

Uno o más Controles que ejecutan …

Detección
Prevención
Limitación
Corrección
Recuperación
Monitoreo
Sensibilización Controles Áreas Principales de Controles (Anexo A):

Política
Organización
Gestión de Activos
Seguridad de Recursos Humanos
Seguridad Física y del Ambiente
Gestión de las Comunicaciones y Operaciones
Control de Acceso
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Gestión de Incidentes de Seguridad de la Información
Gestión de Continuidad del Negocio
Cumplimiento Controles de la ISO 27001 Objetivos para una Auditoría
Asegurar que el SGSI está conforme con los requisitos definidos
ISO 27001
Requisitos legales y reglamentares
Requisitos contractuales
Requisitos propios de la organización (su SGSI)

Proceso de investigación de causas de incidentes o fallas de seguridad

Identificar oportunidades para integrar el SGSI. P. ej. con las partes interesadas

Identificar oportunidades para mejorar el SGSI
Reducir el riesgo de exposición
Mejorar la mitigación del riesgo
Incluir otros activos de información
Reducir los costos del SGSI Auditando el SGSI Auditar Para:

Intención: ¿El SGSI está conforme a la ISO 27001?
Implementación: ¿Las personas hacen lo que el SGSI exige?
Eficacia: ¿El SGSI funciona según lo esperado?
Mejora Continua: ¿El SGSI evoluciona para adecuarse con el cambio de amenazas y circunstancias? Auditoría contra criterios definidos Auditoría de 1a parte
La organización se audita a sí misma (Clausula 6 de la ISO 27001)

Auditoría de 2a parte
La organización puede auditar a sus proveedores

Auditoría de 3a parte
Un organismo de certificación independiente audita a la organización Tipos de Auditoría

Entrevistas, observación y análisis de documentos, registros, indicadores de desempeño:

Identificar evidencia de conformidad
Identificar evidencia de no conformidad
Identificar oportunidades para mejorar
Identificar áreas de buenas prácticas Proceso de la Auditoría La cláusula 5.2.2 de la ISO 27001 requiere que la organización garantice que todas las personas con responsabilidades definidas en el SGSI sean competentes y mantengan registros de entrenamiento.

El SGSI de la organización requiere que todas las personas participen de entrenamientos y sensibilización en seguridad de la información.

Ningún registro de asistencia para el entrenamiento en seguridad de la información estaba disponible para los empleados 8904, 8905 y 8910. Informando No Conformidades
Ejemplo: Ciclo PHVA Los informes de no conformidad direccionan acciones correctivas (8.2):

Determinar la causa
¿Por qué no están disponibles los registros de los empleados 8904, 8910 y 8942 en los cursos de sensibilización para seguridad de la información?
No participaron del entrenamiento
¿Por qué?
El gerente asignado no observó que el entrenamiento era mandatorio

Implementar acción correctiva

Entrenar empleados
Revisar nuevos procesos de constatación para tornar claro que el entrenamiento es mandatorio e informar los gerentes del cambio Eliminando No Conformidades Con un SGSI certificado con la ISO 27001, las partes interesadas tienen alguna garantía de que los problemas con Seguridad de la Información serán identificados y corregidos Un SGSI certificado en la ISO 27001 asegura a las partes interesadas que existen procesos sistemáticos para:

Identificar activos de información críticos
Identificar y evaluar los riesgos para la confidencialidad, integridad y disponibilidad de los activos de información
Mitigar los riesgos aplicando controles
Evaluar continuamente los riesgos, considerando cambios de:
Amenazas (nuevas, más frecuentes)
Organización (nuevas personas, productos, servicios)
Tecnología (más rápida, más amplia más compleja)
Involucrar la gerencia y empleados
Involucrar proveedores y otras partes
Detectar y administrar los incidentes de seguridad
Revisar, monitorear y mejorar continuamente
Conducir regularmente auditorías independientes Resumen del SGSI Gracias por su Asistencia A 15.1.4 Protección de los datos y privacidad de la información personal

A 15.1.3 Protección de los Registros Organizacionales

A 15.1.2 Protección de los derechos de Propiedad Intelectual Controles considerados esenciales debido a los requisitos legislativos (ISO 27002) Definición de Auditoría
Evidencia de Auditoría
Criterios de Auditoría
Tipos de Auditorías
Identificar los papeles y responsabilidades de Auditores y Auditores Líderes
Habilidades y Comportamiento de auditores eficaces Auditorías y Auditores
(ISO 19011) Fuente importante de información para la revisión de la dirección

Demuestra compromiso y comunicación y motivación del personal

Mejora la participación y motivación del personal

Provee oportunidades de mejoras continuas

Mejora la satisfacción y confianza de los clientes

Mejora el desempeño operacional

Mantiene la sensibilización para la seguridad de la información Beneficios de Auditorías Internas del SGSI "No cumplimiento de un requisito"

¿Cuándo levantar una no conformidad?

El no cumplimiento de un requisito especificado en:

La política de Seguridad
La Norma ISO 27001 de Gestión de Seguridad de la Información
Los procesos y Procedimientos del SGSI
Metas de desenpeño para procesos o controles (eficacia)
Requisitos legales o reglamentarios No conformidad Requisito:
Parte relevante del Requisito
Fuente del requisito:
Clausula de la ISO 27001
Referencia al documento o sección de SGSI
Constatación: (Como el requisito no fue cumplido)
Declaración ("Espejo del requisito"
Evidencia: (para que sea verificable)
Identificar todas las evidencias objetivas para que se pueda hacer el seguimiento
Tipos de No Conformidad:
Mayor: Una ruptura o falla en cumplir con uno o más requisitos del SGSI para controlar de manera eficaz los procesos. Levanta duda importante sobre la capacidad del sistema.
Menor: Una única falla observada que por si no levanta dudas sobre la capacidad del sistema Informe de No Conformidad
Full transcript