ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.
-
Upload
rolando-sabedra -
Category
Documents
-
view
20 -
download
1
Transcript of ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.
![Page 1: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/1.jpg)
ISO 27001
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
ISO 27001ISO 27001
Base de datos
![Page 2: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/2.jpg)
ISO 27001 Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos,
CDs, etc…) Oral (teléfono, móvil, etc.) Video, fotos
Qué es Información?
![Page 3: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/3.jpg)
ISO 27001
La Información en las Empresas
Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
![Page 4: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/4.jpg)
ISO 27001
La Información en las EmpresasEstos activos pueden ser clasificados de la siguiente forma:
• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización• Servicios (comunicaciones, etc.)
![Page 5: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/5.jpg)
ISO 27001
Confidencialidad
Integridad
Disponibilidad de la información
La seguridad de información se caracteriza por la preservación de:
Qué es seguridad de la Información?
![Page 6: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/6.jpg)
ISO 27001
Identificación de AmenazasTipos de Amenazas
Amenazas
Naturales
Amenazas a Instalaciones
Amen
azas
Tecnol
ógica
s
Amenazas Sociales
Amenazas
Humanas
Amen
azas
Ope
raci
onal
es
![Page 7: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/7.jpg)
ISO 27001
VulnerabilidadesTipos de Vulnerabilidades
Gestión operaciones
y comunicación
Seguridad de los recursos humanos
Man
tenim
iento
,
desar
rollo
de S
ist. d
e
info
rmac
ión
Seguridad física y ambiental
Con
trol
de
Acc
eso
![Page 8: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/8.jpg)
ISO 27001
Seguridad de la InformaciónSGSI
![Page 9: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/9.jpg)
ISO 27001
¿Seguridad de la Información ?• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
![Page 10: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/10.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
![Page 11: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/11.jpg)
ISO 27001
1Planificar
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
![Page 12: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/12.jpg)
ISO 27001
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
1Planificar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
![Page 13: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/13.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.• Definir el enfoque de evaluación del riesgo de
la organización.• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance establecido.
• Analizar y evaluar los riesgos encontrados.
![Page 14: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/14.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.
• Identificar y evaluar las opciones de tratamiento de los riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
![Page 15: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/15.jpg)
ISO 27001
1Planificar
3Revisar
4Actuar
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
2Hacer
![Page 16: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/16.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Hacer.• Plan de tratamiento del riesgo.• Implementar el plan de tratamiento del riesgo.• Implementar controles seleccionados.• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.• Implementar programas de capacitación.• Manejar las operaciones y recursos del SGSI.• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
![Page 17: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/17.jpg)
ISO 27001
1Planificar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
3Revisar
![Page 18: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/18.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de seguridad.
• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
![Page 19: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/19.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados del monitoreo.
• Registrar las acciones y eventos con impacto sobre el SGSI.
![Page 20: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/20.jpg)
ISO 27001
1Planificar
3Revisar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
4Actuar
![Page 21: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/21.jpg)
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Actuar.• Implementar las mejoras identificadas en el
SGSI.• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.• Comunicar los resultados y acciones a las partes
interesadas.• Asegurar que las mejoras logren sus objetivos
señalados.
![Page 22: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/22.jpg)
ISO 27001
Seguridad de la InformaciónSGSI
![Page 23: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/23.jpg)
ISO 27001
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
• Medir el desempeño del SGSI.• Identificar mejoras en el SGSI a fin de implementarlas.• Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
![Page 24: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/24.jpg)
ISO 27001
Estructura de la Documentación Requerida
Nivel IV
Nivel I
Nivel III
Nivel II
Enfoque de la GerenciaPolítica, Alcance, Evaluación Riesgo
Manual de Seguridad
Descripción de procesos,Quién hace qué y cuándo
Procedimientos
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Provee evidencia objetiva de la conformidad con SGSI
Registros
![Page 25: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/25.jpg)
ISO 27001
Factores Claves de Éxito en la Implementación de un SGSI
• Política de seguridad documentada y alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta gerencia.
• Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
• Compatibilidad con la cultura organizacional.
• Entrenamiento y educación.
![Page 26: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/26.jpg)
ISO 27001
Conclusiones• Hoy en día las organizaciones
dependen en gran medida de su tecnología y sus activos de información.
• Por lo anterior, impera una protección adecuada a las informaciones importantes.
• Seguridad no es un producto, es un proceso que debe ser administrado.
![Page 27: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/27.jpg)
ISO 27001
Conclusiones
• Nada es estático, la seguridad no es la excepción. Mejora continua.
• Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
![Page 28: ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.](https://reader033.fdocuments.mx/reader033/viewer/2022061215/54a908fd497959e62b8b4da7/html5/thumbnails/28.jpg)
ISO 27001
Preguntas y Respuestas