Iso 27001
February 16, 2023 | Author: Anonymous | Category: N/A
Short Description
Download Iso 27001...
Description
ISO 27001
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001
Base de datos INTEGRANTES: JOSUE ARCOS ARCOS POSTIGO EDWIN GONZLES ALE REYNITA VELAZQUEZ LEONEL CONDORI
Qué es Información? ISO 27001
Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos, CDs, etc…)
Oral (teléfono, móvil, etc.) Video, fotos
La Información en las Empresas ISO 27001
Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
La Información en las Empresas ISO 27001
Estos forma:activos pueden ser clasificados de la siguiente • Activos de Información (datos, manuales de usuario, etc.) • Documentos en Papel (contratos) • Activos de software (aplicación, software de sistema, etc.) • Activos físicos (computadores, medios magnéticos, etc.) • Personal (clientes, trabajadores) • Imagen y reputación de la organización • Servicios (comunicaciones, etc.)
Qué es seguridad de la Información? ISO 27001
La seguridad de información se caracteriza por la preservación preservaci ón de: Confidencialidad Integridad
Disponibilidad de la información
Identificación de Amenazas Tipos de Amenazas ISO 27001
Amenazas a Instalaciones
Amenazas Sociales
Vulnerabilidades Tipos de Vulne Vulnerabilidades rabilidades ISO 27001 e d o l s o e r c t n c o A C
Seguridad de los recursos humanos
Seguridad física y ambiental
ISO 27001
Seguridad de la Información SGSI
¿Seguridad de la Información ? La información es un activo que como otros o tros activos ISO 27001 importantes tiene valor y requiere en consecuencia una protección adecuada. • La información puede estar: •
• •
Impresa o escrita en papel. Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación.
• D ebe pr ote otege gerr se ade adecu cuadame adamen n te cu cual alqu quii er a que sea la l a for f or m que qu e tom tome e o l os me medi dios os por l os qu que e se compar te o almace al macen n e.
Gestión Seguridad Información ISO 27001
ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros
activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser
protegido adecuadamente”. adecuadamente”.
• “Un Sistema de Gestión de Seguridad de
Información (SGSI) un sistema gerencial general basado en unesenfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
4
1
Actuar
Planificar
3
2
Revisar
Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
4 Actuar
3
2
Revisar
Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
•
Planificar. • Definir el enfoque de evaluación del riesgo de
la organización. Establecer metodología de cálculo del riesgo. • Establecer criterios de aceptación del riesgo y •
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance
establecido. • Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
•
Planificar. • Identificar y evaluar las opciones de tratamiento de los riesgos. • Aplicar controles. • Aceptarlo de acuerdo a los criterios de aceptación. • Evitarlo. •
Transferirlo. • Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. • Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. • Preparar el Enunciado de Aplicabilidad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
4
1
Actuar
Planificar
2 3 Revisar
Hacer
Gestión Seguridad Información ISO 27001
•
ISO-27001:2005. Modelo Preventivo Hacer. • • • •
Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los
controles a través de indicadores de gestión. • Implementar programas de capacitación. • Manejar las operaciones y recursos del SGSI. • Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
4
1
Actuar
Planificar
3 Revisar
2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
•
Revisar. • Procedimientos de monitoreo y revisión para: • Detectar oportunamente los errores. • Identificar los incidentes y violaciones de seguridad. • Determinar la eficacia del SGSI. •
Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. • Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. • Realizar revisiones periódicas.
Gestión Seguridad Información ISO 27001
ISO-27001:2005. Modelo Preventivo
• Revisar. • Medición de la efectividad de los controles. • • • • •
Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
1 Planificar
4 3
Actuar
Revisar
2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001
•
Actuar. • Implementar las mejoras identificadas en el
SGSI. • Aplicar acciones correctivas y preventivas de seguridad al SGSI. • Comunicar los resultados y acciones a las partes interesadas. • Asegurar que las mejoras logren sus objetivos señalados.
ISO 27001
Seguridad de la Información SGSI
Mantenimiento y mejora del SGSI (Act) ISO 27001 •
Tomar acciones en los resultados de la correctivas revisión dey lapreventivas, dirección, basadas para lograr la mejora continua del SGSI. • • •
Medir el desempeño Identificar mejoras endel el SGSI. SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. • Revisar el SGSI donde sea necesario implementando •
las acciones seleccionadas.
Estructura de la Documentación Requerida ISO 27001
Nivel I
Nivel II
Nivel III
Nivel IV
Enfoque de la Gerencia Política, Alcance, Evaluación Riesgo
Manual de Seguridad
Descripción de procesos, Quién hace qué y cuándo
Procedimientos
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Provee evidencia objetiva de la conformidad con SGSI
Registros
Factores Claves de Éxito en la Implementación de un SGSI ISO 27001
•
Política de seguridad documentada y alineada con los objetivos del negocio.
Apoyo y participación visible de la alta gerencia. • Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. • Compatibilidad con la cultura organizacional. • Entrenamiento y educación. •
Conclusiones ISO 27001
• Hoy en día las organizaciones dependen en gran medida de su
tecnología y sus activos de información. • Por lo anterior, impera una protección adecuada a las informaciones importantes. • Seguridad no es un producto, es un proceso que debe ser administrado.
Conclusiones ISO 27001
• Nada es estático, la seguridad no es la
excepción. Mejora continua. • Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
ISO 27001
MUCHAS GRACIAS POR SU ATENCIÓN
View more...
Comments
