Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ISO 38500 y 27000

No description
by

Diego Lema

on 30 July 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 38500 y 27000

UNIVERSIDAD TECNICA DEL NORTE
DIEGO LEMA
EDISON VALENZUELA

El estándar provee una guía para los directores de las organizaciones para el uso efectivo, eficiente y aceptable de las TI dentro de las organizaciones. Es aplicable al gobierno de los procesos de gestión (y decisiones) relacionadas con los servicios de comunicación e información utilizados por la organización. Estos servicios pueden ser controlados por personas dentro de la organización o por proveedores externos.
*Brindar ISO que satisfagan las necesidades del cliente.
*Brindar estándares ISO que promuevan la innovación y provean soluciones para enfrentar los retos globales.
*Aumentar la capacidad y participación de los países en vías de desarrollo en el proceso de estandarización internacional.
*Destacarse en los esfuerzos por acercarse a los stakeholders.
*Crear alianzas estratégicas que eventualmente incrementen el valor y el desarrollo eficiente de estándares internacionales.
*Mejorar de manera significativa ISO y sus procesos.
*Lograr que ISO y el valor de los estándares internacionales voluntariamente establecidos sean claramente entendidos por los clientes, stakeholders y el público en general.
Por qué se creó el estándar ISO 38500
??
ISO no pretende reemplazar COBIT, ITIL u otros marcos de referencia o estándares, sino más bien los complementa brindando diferentes enfoques de TI. Este estándar se creó con la finalidad de que se evalúe, dirija y monitoree el uso de las tecnologías de información en las organizaciones.
Nota: !!!!!!!
ISO no se encuentra involucrado en las certificaciones de los estándares que desarrolla, de forma que dicha actividad debe ser realizada por organismos de certificación externos, los cuales por lo general son privados.
INTECO es reconocida por ISO como la organización encargada del manejo de estándares a nivel nacional.
Reseña histórica
Aplicación
Alcance
Objetivos de
la organización
*Nace en 1946 por delegados de 25 países del Instituto de Ingenieros Civiles en Londres, Inglaterra
*En febrero de 1947 la nueva organización ISO comenzó sus operaciones.
*El nombre de la organización se deriva del griego isos, que significa igual
*Se han publicado 19000 estándares cubriendo aspectos relacionados con tecnología y manufactura.
*Hoy hay miembros de 164 países y 3335 técnicos que se encargan del desarrollo de estándares.
“International Organization for Standardization”.
El estándar es válido para cualquier entidad sea pública o privada, gubernamental o sin fines de lucro. Además, es aplicable para organizaciones de cualquier tamaño.
Objetivos del marco referencial

1.Asegurar a los stakeholders que pueden confiar en el gobierno corporativo de TI de la organización.
2.Informar/guiar a los directores en gobernar el uso de las TI en su organización.
3.Proveer las bases para una evaluación objetiva del gobierno corporativo de TI.
Beneficios de utilizar el estándar

El estándar establece principios para un uso eficiente, efectivo y aceptable de las TI. Asegurarse que las organizaciones sigan estos principios ayudará a los directores a balancear riesgos y generar oportunidades para el uso de las tecnologías de información.

Un gobierno adecuado de TI puede ayudar a los directores a asegurar la conformidad con las obligaciones (regulaciones, legislaciones, leyes comunes, contratos) que rigen el uso aceptable de las TI.

Sistemas de TI inadecuados pueden exponer a los directores a no cumplir legislaciones de acatamiento obligatorio y sufrir las consecuencias de dicho incumplimiento. Por ejemplo, los directores pueden ser directamente responsables por:
 Estándares de seguridad,
 legislación de privacidad,
 legislación de spam,
 derechos de propiedad intelectual,
 legislación de accesibilidad,
 entre otros.
Beneficios de utilizar el estándar
Implementación y operación adecuada de los activos de TI
Claridad de la responsabilidad para el uso y el aprovisionamiento de tecnologías que ayudan a cumplir los objetivos de la organización
Continuidad y sostenibilidad del negocio
Alineamiento de TI con las necesidades del negocio
Asignación eficiente de recursos
Innovación en mercados, servicios y negocios
Buenas prácticas en las relaciones con los stakeholders
Reducción de los costos en la organización
Logro de los beneficios aprobados para cada inversión de TI
Principios básicos del Gobierno de TI
Modelo de Gobierno de TI
1.Evaluar el uso actual y futuro de las TI.
2.Dirigir la preparación e implementación de planes y políticas para asegurar que el uso de las TI satisfaga las necesidades y los objetivos de negocio.
3.Monitorear la conformidad de las políticas y el desempeño contra los planes.
Lista de empresas certificadas en el Instituto de Normas Técnicas de Costa Rica (INTECO) que es una asociación privada, sin fines de lucro, con personería jurídica y patrimonio propio.
INTECO fue creada en 1987 y en 1995 fue reconocida por decreto ejecutivo, como el Ente Nacional de Normalización, dicho reconocimiento se consolida con la emisión de Ley del Sistema Nacional para la Calidad, Nº 8279, publicada el 21 de mayo del 2002.
INTECO maneja una gran cantidad de Empresas que se encuentran certificadas en muchas de las normas ISO, sin embargo no existe ninguna entidad que aparezca certificada en ISO 38500, porque dicha norma no aparece como una de las regulaciones que aplica para el gobierno de TI en Costa Rica, cabe resaltar que existen otras regulaciones que rigen para la gestión de dicho tema en el país.
ISO 38500 en Costa Rica
Caso de Estudio
Cobit
ISO 38500
Adecuado para ser utilizado en el IT Management Framework (Cobertura media baja)
Proporciona el “Qué” de los principios de forma detallada
Planear y Organizar, Adquirir e Implementar, Entrega y Soporte, Monitoreo y Evaluación
Adecuado para ser utilizado en el IT Governance Framework,  (Cobertura media - alta)
Proporciona una estructura de los principios
Evaluar, Dirigir y Monitorear
Cobit
ISO 38500
Delto Sylvester en un artículo ISO 38500—Why Another Standard?, realiza una comparación entre COBIT y el ISO 38500.
ISO 38500 vs COBIT
NORMAS ISO 38500 Y 27000
ISO 38500
photo (cc) Malte Sörensen @ flickr
¿Para qué se utiliza?
Establecer una metodología de gestión de la seguridad clara y estructurada.
Reducir el riesgo de pérdida o robo de información.
Dar confianza a los clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
Introducción
¿Qué es la ISO/IEC 27000?
Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información, utilizable para cualquier tipo de organización.
Dar la posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,…).Dar una imagen de la empresa a nivel internacional.Reducir los costes y mejorar los procesos y servicios.Aumentar la motivación y satisfacción del personal.
Origen
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044
ISO 27000:
contiene conceptos técnicos y de gestión.
ISO 27001:
requisitos del sistema de gestión de la seguridad de la información.
ISO 27002:
objetivos de control y controles recomendables.
ISO 27003:
guía de implementación de SGSI y modelo PDCA.
ISO 27004:
métricas y técnicas de medida en SGSI.
ISO 27005:
directrices para la gestión de riesgo.IS
O 27006: r
equisitos para la acreditación de entidades de auditoría.
ISO 27007:
Consiste en una guía de auditoría de un SGSI.
ISO 27011:
Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031:
Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032:
Consiste en una guía relativa a la ciber seguridad.
ISO 27033:
Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.
ISO 27034:
Consiste en una guía de seguridad en aplicaciones.
ISO 27799:
define directrices para apoyar la interpretación y aplicación enla salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
ISO 27001:2005
Contenido
Introducción:
generalidades e introducción al método PDCA.

Objeto y campo de aplicación:
se especifica el objetivo, la aplicación y el tratamiento de exclusiones.

Normas para consulta:
otras normas que sirven de referencia.

Términos y definiciones:
breve descripción de los términos más usados en la norma.

Sistema de gestión de la seguridad de la información:
cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.

Responsabilidad de la dirección:
en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.


Auditorías internas del SGSI:
cómo realizar las auditorías internas de control y cumplimiento.
Revisión del SGSI por la dirección:
cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.

Mejora del SGSI:
mejora continua, acciones correctivas y acciones preventivas.

Objetivos de control y controles:
anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.

Relación con los Principios de la OCDE:
anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

Correspondencia con otras normas:
anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

Bibliografía:
normas y publicaciones de referencia.
ISO 27002:2005
(anterior ISO 17799:2005)

Introducción:
conceptos generales de seguridad de la información y SGSI.

Campo de aplicación:
se especifica el objetivo de la norma.

Términos y definiciones:
breve descripción de los términos más usados en la norma.


Estructura del estándar:
descripción de la estructura de la norma.


Evaluación y tratamiento del riesgo:
indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
Política de seguridad:
documento de política de seguridad y su gestión.


Aspectos organizativos de la seguridad de la información:
organización interna; terceros.

Gestión de activos:
responsabilidad sobre los activos; clasificación de la información.

Seguridad ligada a los recursos humanos:
antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.

Seguridad física y ambiental:
áreas seguras; seguridad de los equipos.

Gestión de comunicaciones y operaciones:
responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión.
Control de acceso:
requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

Adquisición, desarrollo y mantenimiento de los sistemas de información:
requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.

Gestión de incidentes de seguridad de la información:
notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.
Gestión de la continuidad del negocio:
aspectos de la seguridad de la información en la gestión de la continuidad del negocio.

Cumplimiento:
cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

Bibliografía:
normas y publicaciones de referencia.
Esta norma establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.


Preámbulo
• Introducción
• Referencias normativas
• Términos y definiciones
• Breve descripción de los términos más usados en la norma.
• Estructura del estándar
• Descripción de la estructura de la norma.
• Fundamentos del proceso de gestión de riesgos (ISRM)
• Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
• Establecimiento del contexto
• Evaluación de riesgos (ISRA)
• Tratamiento de riesgos
ISO 27005:2008
Aceptación del riesgo
Comunicación del riesgo
Monitorización y revisión del riesgo
Anexo A: Definiendo el ámbito del proceso
Anexo B: Valoración de activos y evaluación de impacto
Anexo C: Ejemplos de amenazas más comunes
Anexo D: Vulnerabilidades y métodos de evaluación
Anexo E: Aproximación a ISRA
Esta norma referencia directamente a muchas cláusulas de ISO 17021 requisitos de entidades de auditoría y certificación de sistemas de gestión.
ISO 27006:2007
Preámbulo:
presentación de las organizaciones ISO e IEC y sus actividades.

Introducción:
antecedentes de ISO 27006 y guía de uso para la norma.

Campo de aplicación:
a quién aplica este estándar.

Referencias normativas:
otras normas que sirven de referencia.

Términos y definiciones:
breve descripción de los términos más usados en la norma.

Principios:
principios que rigen esta norma.

Requisitos generales:
aspectos generales que deben cumplir las entidades de certificación de SGSIs.
Requisitos estructurales:
estructura organizativa que deben tener las entidades de certificación de SGSIs.

Requisitos en cuanto a recursos

Requisitos de información

Requisitos del proceso

Requisitos del sistema de gestión de entidades de certificación

Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector

Anexo B - Áreas de ejemplo de competencia del auditor

Anexo C - Tiempos de auditoría

Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005
ISO 27799:2008
Es un estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
Alcance
Referencias (Normativas)
Terminología
Simbología
Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Información sanitaria a proteger; Amenazas y vulnerabilidades)
Plan de acción práctico para implantar ISO 17799/27002.

Implicaciones sanitarias de ISO 17799/27002

Anexo A: Amenazas

Anexo B: Tareas y documentación de un SGSI
Anexo C: Beneficios potenciales y atributos de herramientas
Anexo D: Estándares relacionados
BENEFICIOS
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

Reducción del riesgo de pérdida, robo o corrupción de información.

Los clientes tienen acceso a la información a través medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Confianza y reglas claras para las personas de la organización.
Reducción de costes y mejora de los procesos y servicio.

Aumento de la motivación y satisfacción del personal.

Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
¿Cómo Adaptarse?
Arranque del proyecto
Planificación
Implementación
Seguimiento
Mejora continua
Fundamentales
Aspectos Clave
Compromiso y apoyo de la Dirección de la organización.
Definición clara de un alcance apropiado.
Concienciación y formación del personal.
Evaluación de riesgos exhaustiva y adecuada a la organización.
Compromiso de mejora continua.
Establecimiento de políticas y normas.
Organización y comunicación.
Integración del SGSI en la organización.
La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités de dirección con descubrimiento continuo de no
conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio.
Factores de éxito
Riesgos
Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

Temor ante el cambio: resistencia de las personas.

Discrepancias en los comités de dirección.

Delegación de todas las responsabilidades en departamentos técnicos.

No asumir que la seguridad de la información es inherente a los procesos de negocio.
Planes de formación y concienciación inadecuados.

Calendario de revisiones que no se puedan cumplir.

Definición poco clara del alcance.

Exceso de medidas técnicas en detrimento de la formación, concienciación y
medidas de tipo organizativo.

Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
Mantener la sencillez y restringirse a un alcance manejable y reducido

Comprender en detalle el proceso de implantación

Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Dirección de la empresa.

La certificación como objetivo.
Se debe establecer los objetivos y procesos necesarios para obtener los resultados de acuerdo con el resultado esperado.
Sus objetivos son:
•Identificar proceso que se quiere mejorar
•Recopilar datos para profundizar en el conocimiento del proceso
•Analizar e interpretación de los datos
•Establecer los objetivos de mejora
•Detallar las especificaciones de los resultados esperados
•Definir los procesos necesarios para conseguir estos objetivos, verificando las especificaciones.
se debe hacer, pero no lo que creamos conveniente o lo que nos gustaría, se debe de ejecutar lo que se ha planificado en el punto anterior.
En esta etapa, se debe:

•Ejecutar los procesos definidos en el paso anterior
•Efectuarlos de ser posible en pequeña escala.
•Documentar las acciones realizadas.
Se debe de forma periódica evaluar los datos de control planificados y recogidos en la fase de “Hacer”, previamente trasladados al sistema de control definido previamente. (Cuadros de Mando, Autocontroles, Auditoría Internas, etc.)
Se debe detectar las posibles desviaciones que se hayan ocasionado en la consecución de los objetivos

se podrá detectar cuales son los puntos fuertes y débiles de la organización, además de conocer que opina nuestros clientes.

Se debe registrar esta información con el propósito de reforzar conductas y obtener el material informativo con el cual se trabajara en el último de paso del círculo.
Es este el punto de la mejora, el punto que más valor añadido aporta. Aca se debe evaluar, revisar, optimizar y aplicar lo aprendido.

Se debe documentar el ciclo .

En base a las conclusiones se debe elegir una opción:
Si se han detectado errores parciales, realizar un nuevo ciclo PDCA con nuevas mejoras.

Si no se han detectado errores relevantes, aplicar a gran escala las modificaciones de los procesos

Si se han detectado errores insalvables, abandonar las modificaciones de los procesos
ISO 27000
Full transcript