Iso 27000

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de administración de la información. El término se denomina en Inglés “Information Security Management System” (ISMS).

SGSI

• Ofrece un enfoque para la implementación de políticas de control.
• Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación.

BENEFICIOS

• Promueve reducción de costos con la prevención de incidentes de seguridad de la información

BENEFICIOS

• Mayor control de activos e información sensible.

• Oportunidad de identificar y corregir puntos débiles.

BENEFICIOS

La norma tiene el siguiente

contenido:

• Alcance.
• Referencias Normativas.
• Términos y Definiciones.
• Estructura de esta Norma.
• Obtención de la aprobación de la alta dirección para iniciar un SGSI.
• Definición del alcance del SGSI, límites y políticas.
• Evaluación de requerimientos de seguridad de la información.
• Evaluación de Riesgos y Plan de tratamiento de riesgos
• Diseño del SGSI.

ANEXOS

• Anexo A: lista de chequeo para la implementación de un SGSI.
• Anexo B: Roles y responsabilidades en seguridad de la información
• Anexo C: Información sobre auditorías internas.
• Anexo D: Estructura de las políticas de seguridad.
• Anexo E: Monitoreo y seguimiento del SGSI.

Documento normativo como guia para implementar los controles y objetivos de seguridad de la ISO 27000

PASOS:

• Elección de los objetivos y procesos de medición.
• Descripción de las líneas principales.
• Selección de datos
• Desarrollo de un sistema de medición.
• Interpretación de los valores medidos.
• Notificación de los valores de medición.

Gestión de Riesgos

La gestión del riesgo es una actividad recurrente que se refiere al análisis, a la planificación, la ejecución, el control y el seguimiento de todas las medidas implantadas y la política de seguridad que ha sido impuesta.

Gestión de Riesgos

Identificación de riegos

Debemos instalar una determinada aplicación de software ya que un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo puede cambiar su valor durante la ejecución de un proyecto.

Identificación de riegos

Evaluación de los riesgos

La evaluación de riesgos se ejecuta en los puntos discretos de tiempo y hasta que el rendimiento de la próxima evaluación proporciona una visión temporal de los riesgos evaluados.

la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones posteriores detallan el análisis de los riesgos principales y tolerables.

Evaluación de los riesgos

REQUISITOS

• Orientación específica del Sistema de Gestión de Seguridad de la Información en relación con la imparcialidad.
• Listado del trabajo que pudiera estar en conflicto.
• Inclusión de una lista de todas las actividades que se pueden realizar fuera.

REQUISITOS

OBJETIVO

Especificar los requisitos y suministrar una especie de manual para llevar a cabo la auditoría y la certificación del sistema.

El proceso de certificación consiste en auditar el Sistema de Gestión de Seguridad de la Información para el cumplimiento de ISO 27001.

OBJETIVO

IMPORTANCIA

Es impotante para el buen funcionamiento de un Sistema de Gestión de Seguridad de la Información ya que define el alcance del sistema, adaptado a la organización en la que se vaya a implantar.

Una vez que se conoce el alcance del sistema se deben reconocer los activos de información que se quieren gestionar.

FINALIDADES

• Corroborar la mitigación realizada por los controles de seguridad de la información de sobre los riesgos de la organización.
• Verificar que es correcta la relación de los controles de seguridad con la contabilidad general o de los sistemas y procesos de contratación para que los auditores verifiquen los datos.
• Comprobar que las obligaciones contractuales de los proveedores son satisfactorias.
• Realizar una revisión y control por la dirección.
• Operaciones rutinarias del SGSI de una organización para garantizar la buena marcha de la organización.
• Auditar después de producirse incidentes en la seguridad de la información como parte del análisis.
• Generar acciones correctivas.

FINALIDADES

Guía para proceder a auditar un SGSI

GUIA

• Gestión del programa de auditoria del SGSI: en el que establece qué, cuándo y cómo se debe auditar, gestionar los riesgos de auditoria, asignar auditores apropiados, mejora continua del proceso, mantenimiento de los registros de la misma,…
• Realización de la auditoria relativa al SGSI: ésta incluye la planificación, el proceso de auditoria, la realización de actividades clave, análisis, trabajo de campo, presentación de informes y seguimiento.
• Gestión de los auditores del SGSI: competencias, habilidades, atributos, evaluación

FINALIDAD

La norma ISO 27008 se focaliza en la verificación de los controles de seguridad de la información, al contrario que la ISO 27007 que se centra solo en la auditoría de los elementos del SGSI. Una cosa que incluye la norma es la verificación de la conformidad técnica, que si la comparamos con otra norma que solo es de implantación de la seguridad de la información establecido por la empresa.

FINALIDADES

CONTROLES DE SEGURIDAD TI

BENEFICOS DE LOS CONTROLES DE SEGURIDAD TI

• Conocer cuál puede ser el alcance de los problemas de la aplicación
• Llevar a cabo los controles de seguridad de la información, los de la información técnica y las normas básicas de seguridad.
• Establecer e inspeccionar los impactos, amenazas o vulnerabilidad a los que se pueden encontrar sometidos.
• Realizar una programación de actividades para disminuir riegos.
• Dar garantía de que las posibles deficiencias en la seguridad se han solucionado.

CONTROLES TÉCNICOS

Los controles de seguridad TI son un subconjunto de controles de seguridad de la información, que sí que se encuentran definidos pero en las norma ISO 27001 e ISO 27002.