Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

NORMA ISO 27000

Sistema de Gestion de la Seguridad de la Informacion
by

Edna Ramos

on 18 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NORMA ISO 27000

NORMA
ISO 27000 Estandar


ISO


ISO 27000


SGSI Conceptualización Modelo PDCA aplicado a los procesos SGSI. Modelo PDCA Sistema de Gestión de Seguridad de la Información
(SGSI) Auditorías Internas SGSI Mejoramiento del SGSI Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología (International Organization for Standardization) es una federación internacional de los institutos de normalización de 157 países (uno por cada país), desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros. ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas Conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. El SGSI (Sistema de Gestión de Seguridad de la Información), es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
Debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Conceptualización

Relación ISO 27001 con ISO 27002



Implantar ISO 27001
en una Empresa ISO 27002 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables que ayudarán a la organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de la información.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para su posible aplicación en el SGSI que implante cada organización
ISO 27002 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información
Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002.
En muchos casos, es necesario contratar los servicios de una empresa consultora especializada
Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc.
Paralelamente, formar y concienciar a todo el personal.
Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación.
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas Alcance Internacional del Estandar ISO 27001 El ciclo PDCA (por su acrónimo en ingles de Plan, Do, Check, Act), es también conocido “Circulo de Deming”, (de Edwards Deming) o ciclo PHVA (por su acrónimo en español Planear, Hacer, Verificar, Actuar) consiste en una estrategia de mejora continua de la calidad que se efectúa en 4 pasos, basado en un concepto ideado por Walter A. Shewhart. También se conoce como espiral de mejora continua. Se puede afirmar que es un modelo de gestión aplicable a todos los campos no sólo de la empresa, sino de cualquier situación en general. Se deben aplicar 4 pasos para asegurar alcanzar el objetivo definido, lo cual asegura al proyecto: La organización
lógica del trabajo La correcta
realización
de las tareas
necesarias
y planificadas. La comprobación
de los logros
obtenidos La posibilidad de aprovechar y extender aprendizajes y experiencias
adquiridas a otros
casos Los 4 pasos del
Ciclo PDCA Se debe establecer los objetivos y procesos necesarios para obtener los resultados de acuerdo con el resultado esperado. Sus objetivos son:
•Identificar proceso que se quiere mejorar
•Recopilar datos para profundizar en el conocimiento del proceso
•Analizar e interpretación de los datos
•Establecer los objetivos de mejora
•Detallar las especificaciones de los resultados esperados
•Definir los procesos necesarios para conseguir estos objetivos, verificando las especificaciones. se debe hacer, pero no lo que creamos conveniente o lo que nos gustaría, se debe de ejecutar lo que se ha planificado en el punto anterior. En esta etapa, se debe:

•Ejecutar los procesos definidos en el paso anterior
•Efectuarlos de ser posible en pequeña escala.
•Documentar las acciones realizadas. Se debe de forma periódica evaluar los datos de control planificados y recogidos en la fase de “Hacer”, previamente trasladados al sistema de control definido previamente. (Cuadros de Mando, Autocontroles, Auditoría Internas, etc.) Se debe detectar las posibles desviaciones que se hayan ocasionado en la consecución de los objetivos

se podrá detectar cuales son los puntos fuertes y débiles de la organización, además de conocer que opina nuestros clientes.

Se debe registrar esta información con el propósito de reforzar conductas y obtener el material informativo con el cual se trabajara en el último de paso del círculo. Es este el punto de la mejora, el punto que más valor añadido aporta. Aca se debe evaluar, revisar, optimizar y aplicar lo aprendido.

Se debe documentar el ciclo .

En base a las conclusiones se debe elegir una opción:
Si se han detectado errores parciales, realizar un nuevo ciclo PDCA con nuevas mejoras.

Si no se han detectado errores relevantes, aplicar a gran escala las modificaciones de los procesos

Si se han detectado errores insalvables, abandonar las modificaciones de los procesos Al momento de implementar un SGSI, se espera un comportamiento común donde tendrá las siguientes características: Los SGSI varien en el tiempo

La implementación de un SGSI se extienda en concordancia con las necesidades de la organización Un enfoque del proceso para la gestión de la seguridad de la información fomenta que sus usuarios enfaticen en la importancia de: Entender los requerimientos de seguridad de la información de una organización.

Establecer una política y objetivos para la
seguridad de la información.

Implementar y operar controles para manejar
los riesgos de la seguridad de la información.

Monitorear y revisar el desempeño y la
efectividad del SGSI.

Efectuar un mejoramiento continúo en base
a la medición del objetivo. PLANEAR.

Establecer políticas, objetivos, procesos y procedimientos SGSI relevantes para manejar el riesgo

Mejorar la seguridad de la información

Entregar resultados en concordancia con las políticas y objetivos generales de la organización. HACER.

Implementar y operar la política, controles, procesos y procedimientos SGSI VERIFICAR.

Evaluar y, donde sea aplicable, medir el desempeño del proceso en comparación con la política, objetivos y experiencias prácticas SGSI.

Reportar los resultados a la gerencia para su revisión. ACTUAR.

Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoria interna SGSI. Con el fin de lograr el mejoramiento continuo del SGSI. Walter A. Shewhart Edwards Deming Es un enfoque sistemático para establecer, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de la organización para lograr los objetivos de negocio. Se basa en una evaluación del riesgo y los niveles de aceptación del riesgo de la organización diseñados para tratar con eficacia y administrar los riesgos. El punto 6 de la Norma establece: Obliga a la Organización a realizar auditorías internas a intervalos planificados para determinar si los objetivos de control, los controles, los procesos y los procedimientos de este SGSI están:

a. Conforme a los requisitos de la ISO 27001
b. Conforme a los requisitos de seguridad de la información identificados
c. Eficazmente implantados y mantenidos
d. Se comporta como se espera.” PROGRAMA DE AUDITORIA Se debe planificar teniendo en cuenta el estado e importancia de los procesos y las áreas que serán auditados, así como los resultados de las auditorías previas. Los criterios, el alcance, la frecuencia, y los métodos de auditoría deben ser definidos. La selección de auditores y la dirección de auditoría debe garantizar la objetividad e imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo. Lo que la norma nos solicita es que una vez realizada la auditoría, las no conformidades encontradas estén documentadas. En conclusion: • La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los Objetivos:

a) Cumplen con los requerimientos de la Norma.
b) Cumplen con los requerimientos de seguridad.
c) Se implementan y mantienen de manera efectiva.
d) Se realizan conforme lo esperado. 1ro. Se debe planear un
programa de auditoría. 2do. 3ro. Se debe definir
el criterio, alcance,
frecuencia y
métodos
de auditoría. 4to. La auditoria debe asegurar objetividad e imparcialidad. 5to. Los auditores no deben auditar su propio trabajo 6to. Se debe asegurar sin demora las acciones para eliminar las no-conformidades y sus causas 7mo. Se debe incluir la verificación de las acciones tomadas y el reporte de los resultados de verificación La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI). MEJORA
CONTINUA ACCION
PREVENTIVA ACCION
CORRECTIVA La organización debe mejorar de forma continua la eficacia del SGSI a través del uso de la política de seguridad de la Información, objetivos de Seguridad de la Información, resultados de auditorías, análisis de eventos monitorizados, acciones correctivas y preventivas y la revisión por la dirección. El análisis de eventos monitorizados, constituyen unpunto sumamente interesante, pues nos presenta conceptos
de control; tales como las métricas e indicadores Estas metricas e indicadores nos ayudaran a controlar cómo transcurren en el día a día de la organización, de alli su importancia. El procedimiento documentado para acción correctiva debe definir los requisitos para:

Identificar no conformidades.
Determinar la causa de las no conformidades
Evaluar la necesidad de acciones para asegurar que éstas no vuelven a ocurrir
Determinar e implementar la acción correctiva requerida
Registrar los resultados de la acción acometida
Revisar la acción correctiva acometida. a) Quién debe detectar las no conformidades en nuestra organización (Usualmente Todos).

b) Quien puede abrir partes formales de la No Conformidad (¿el Responsable de Seguridad, todos, sólo los directores de área?)

c) Cuáles deben ser los cauces formales de información (Intranet, forma verbal, por escrito en un determinado formato).

d) Definir un soporte donde se registra cuál ha sido la no conformidad, siendo lo usual crear un formato al efecto o habilitar cualquier tipo de aplicación para gestionarlas. Puntos Relevantes en la identificacion de las No Conformidades El procedimiento documentado para acción preventivas debe definir los requisitos para:

Identificar no conformidades potenciales y sus causas
Evaluar la necesidad de acciones para prevenir la ocurrencia de no conformidades
Determinar e implementar las acciones preventivas requeridas
Registrar los resultados de las acciones acometidas
Revisar la acción preventiva acometida Universidad CORHUILA
Mayo de 2013 Edna Yurani Ramos Fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization.

Tambien fue aprobado por la comisión International Electrotechnical Commission

Abarca todos los tipos de organizaciones, ya sean entes gubernamentales, empresas privadas, organizaciones sin fines de lucro, etc.

Se especifican cada uno de los requerimientos para establecer, implementar, operar y monitorear un SGSI documentado dentro de los riesgos comerciales y gerenciales de la organización.

Está diseñado para proteger los activos de información y de esta manera ofrecer confianza a cada una de las partes que forman parte del sistema. Mediante el uso de la familia de normas de SGSI, las organizaciones pueden desarrollar e implementar un marco de gestión de la seguridad de sus activos de información, incluida la información financiera, la propiedad intelectual, y detalles de los empleados, o la información confiada a ellos por los clientes o por terceros Familia de Normas Tiene por objeto ayudar a las organizaciones de todos los tipos y tamaños de implementar y operar un SGSI y consta de las siguientes normas internacionales 27000:2009, Sistemas de información de gestión de seguridad.
27001:2005, Sistemas de gestión de seguridad de la información - Requisitos.
27002:2005, Código de prácticas para la gestión de seguridad de la información.
27003:2010, Gestión de la información de seguridad guía de implementación del sistema.
27004:2009, gestión de seguridad de la información - Medición.
27005:2011, Gestión de la información de riesgos de seguridad.
27006:2011, Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión de seguridad de la información. IEC 27007:2011, Directrices para la gestión de información de seguridad de los sistemas de auditoría.
27008:2011, Directrices para la auditoría de sistemas de gestión de seguridad de la información controla.
27010:2012, directrices de gestión de seguridad de la información para las comunicaciones inter-sectoriales e inter-organizacional.
IEC 27011:2008, directrices de gestión de seguridad de información para las organizaciones de telecomunicaciones basado en la norma.
27013, Guía para el desarrollo integral de la norma ISO / IEC 27001 e ISO / IEC 20000-1. 27014, gobernanza de la seguridad informática
27015, directrices de gestión de seguridad de la información de los servicios financieros.
27016, la gestión de seguridad de la información - economía organizacional Se compone de las políticas, procedimientos, directrices y recursos y las actividades conexas, gestionados colectivamente por una organización, en la búsqueda de la protección de sus activos de información.

El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de los activos de información, según sea necesario, contribuye a la implementación exitosa de un SGSI La información es un activo que, como otros activos importantes del negocio, es fundamental para el negocio de una organización y por lo tanto necesita ser protegido de forma adecuada.
Full transcript