isec iso17799 iso 27001 intensivo
TRANSCRIPT
![Page 1: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/1.jpg)
Seguridad de la Información
NORMA ISO 17799 / ISO 27001
Implementación Práctica
![Page 2: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/2.jpg)
TRACK I :
APERTURA
![Page 3: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/3.jpg)
Recepción
Presentación General
• Objetivos• Director• Sugerencias• Participantes• Roadmap
![Page 4: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/4.jpg)
• Identificación de los requerimientos específicos de la norma ISO 17799 en sus 11 dominios.
• Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.
• Talleres prácticos de implementaciones: soluciones y problemas ocurridos.
• Al final del Entrenamiento se entregará a cada participante un Manual de Gestión de Seguridad de la Información basado en la Norma ISO 17799 / ISO 27001.
Objetivos
Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001 :
![Page 5: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/5.jpg)
Instructor: Martín Vila
Business Director I -Sec Information Security (2001 - 2006)Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 -abril 2001)Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en Entidads de primer nivel en el ámbito local e internacional, basados en distintas Normativas (ISO 17799, BS7799, COBIT, NIST, Sarbanes Oxley).Ha desarrollado y participado como instructor en Information Security Courses en USA, Centroamérica y Latinoamérica (Arthur Andersen, ISACA, Guarded Networks, Ernst & Young, Microsoft, IT College, ISEC, IDEA, ERC-Computer, ATS, IT Services, Global Solution, INFOSECURITY, Universidad CAECE). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.
![Page 6: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/6.jpg)
Instructor: Sixto Flores R.
Country Manager I -Sec Information Security EcuadorGerente IT Services S.A.Gerente Producto Symantec Nexsys del EcuadorGerente Administrativo-Financiero Inacom-EcuadorGerente Dinformatica Grupo Diners-Banco Pichincha
Especialista en Dirección Internacional de Empresas (POST GRADO)Ing. De EmpresasAnalista de SistemasTecnólogo Programador
![Page 7: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/7.jpg)
Identificar objetivos.Anotar respuestas.Intercambiar experiencias.Generar un plan de acción propio.Participar activamente.Aclarar las dudas.Ser positivo y entusiasta.Comunicar los inconvenientes o disconformidades.
Sugerencias
![Page 8: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/8.jpg)
TRACK I : APERTURATRACK II : QUE ES SEGURIDAD?TRACK III : NORMAS APLICABLESTRACK IV : Cómo se implementa un Programa de Gestión de Seguridad de la Información (ISMS)?TRACK V : Cómo es un Proceso de Certificación ISO 27001 de una Organización?TRACK VI : Principales controles definidos en cada uno de los Dominios de la ISO17799:2005TRACK VII : Taller Práctico FINAL: Elaboración de un Programa General de Seguridad para preparar a la Compañía para CertificarTRACK VIII : MODELO ANUAL DE GESTION CONTINUA
Roadmap
![Page 9: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/9.jpg)
TRACK II :
QUE ES SEGURIDAD?
![Page 10: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/10.jpg)
Por que?
Reconocer los riesgos y su impacto en los negocios
![Page 11: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/11.jpg)
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
Algunos datos
11:22 | EL GUSANO
Un nuevo virus se esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informóPanda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
![Page 12: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/12.jpg)
Algunos hechos
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton"-------------------------------------------
Hace apenas unos días saltó la noticia de que los contenidos delteléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido ala tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que elmétodo empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
![Page 13: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/13.jpg)
Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería.En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diariojudicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas, de
libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos hechos
![Page 14: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/14.jpg)
Algunos datos
La seguridad de redes, una prioridad para las empresasCisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.
![Page 15: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/15.jpg)
NEGOCIOSUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todoel mundo. Ahora, ya no se conforman con controlarlos datos circulantes; también quieren ahorrarmillones.
Algunos datos
![Page 16: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/16.jpg)
No existe la “verdad absoluta” en SeguridadInformática.No es posible eliminar todos los riesgos.La Dirección está convencida de que la SeguridadInformática no hace al negocio de la compañía.Cada vez los riesgos y el impacto en los negocios son mayores.
Algunas premisas
![Page 17: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/17.jpg)
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no me sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos todo.
Algunas realidades
![Page 18: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/18.jpg)
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados por personal interno
Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS
Algunos datos
![Page 19: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/19.jpg)
Según una encuesta del Departamento de Defensa de USA:
Sobre aproximadamente 9000 computadores atacados,7,900 fueron dañados.400 detectaron el ataque.Sólo 19 informaron el ataque.
Algunos datos
![Page 20: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/20.jpg)
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
Qué Información proteger
![Page 21: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/21.jpg)
Principales riesgos y su impacto en los negocios
![Page 22: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/22.jpg)
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Principales riesgos
Propiedad de la Información
Mails “anónimos” con información crítica o con agresiones
![Page 23: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/23.jpg)
Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attackKeylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Principales riesgos
![Page 24: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/24.jpg)
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
• Poder cuantificarlos económicamente, por ejemplo¿cuánto le cuesta a la compañía 4 horas sin sistemas?
• Poder vincular directamente sus efectos sobre losresultados de la compañía.
Principales riesgos y el impacto en los negocios
![Page 25: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/25.jpg)
Se puede estar preparado para que ocurran lo menos posible:
• sin grandes inversiones en software • sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad• parametrizando la seguridad propia de los sistemas• utilizando herramientas licenciadas y libres en la web
Principales riesgos y el impacto en los negocios
![Page 26: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/26.jpg)
TRACK III :
NORMAS APLICABLES
![Page 27: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/27.jpg)
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas
Internacionales aplicables
![Page 28: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/28.jpg)
Information Systems and Audit Control Association - ISACA:COBITBritish Standards Institute: BSInternational Standards Organization: Normas ISODepartamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute, Security Focus, etcSarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALESOSSTMM, ISM3, ISO17799:2005, ISO27001
Normas y Metodologías aplicables
![Page 29: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/29.jpg)
Elegimos la más aceptada a nivel mundial
Norma ISO 17799Gestión de Seguridad
![Page 30: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/30.jpg)
0
250
500
750
1000
1250
2002 2003 2004 2005
Empresas certificadas en el mundo
2.299 Empresas certificadas en el mundo a mar-2006
Japón 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34, España 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1
www.Xisec.com
![Page 31: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/31.jpg)
China, 10
India, 81
Taiwan, 46
Qatar, 1
Saudi Arabia, 3UAE, 3
Australia, 11
Hong Kong, 17
Japan, 480Korea, 30
Macau, 1
Malaysia, 2
Singapore, 10
Austria, 5Belgium, 5
Czech Republic, 1
Denmark, 2
Finland, 13
Germany, 36
Greece, 3
Hungary, 12
Iceland, 4
Ireland, 10
Isle of Man, 2
Italy, 23
Lithuania, 1
Luxemburg, 1
Macedonia, 1
Netherlands, 18
Norway, 9
Poland, 5
Slovakia, 1
Spain, 3
Sweden, 7
Switzerland, 5
UK, 185
Empresas certificadas en el mundo
![Page 32: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/32.jpg)
BSI (UK)
BSI-J (Japón)
JQA (Japón)
DNV (Noruega)
JACO (Japón)KPMG (Suiza)
LRQA (UK)
SGS (Suiza)
JICQA (Japón)
JUSE (Japón)
NQA (UK)
CIS (Austria)
SAI (Australia)
IMQ (Italia)
CE (Irlanda)
PSB (Singapur)
BVQI (UK)
SFS (Finlandia)
KEMA (Holanda)
TÜV (Alemania)
DQS (Alemania)
Otros
STQC (India)
Certification bodies:
![Page 33: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/33.jpg)
• ISO9001 – Calidad• ISO14001 – Ambiental
• ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)
• ISO 27001 – CERTIFICACION de Seguridad de la Información
Normas de Gestión ISO
![Page 34: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/34.jpg)
Está organizada en capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 Seguridad de la Información
![Page 35: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/35.jpg)
1. Política de Seguridad2. Organización de Seguridad3. Administración de Activos4. Seguridad de los Recursos Humanos5. Seguridad Física y Ambiental6. Gestión de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información9. Administración de Incidentes de Seguridad de la Información10. Plan de Continuidad del Negocio11.Cumplimiento
Norma ISO17799 (versión 2005)
![Page 36: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/36.jpg)
Qué cambió de la versión anterior
Norma ISO 17799: 2005
![Page 37: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/37.jpg)
NUEVA SECCION
antes 10 ahora 11 Dominios
ADMINISTRACION DE INCIDENTES
![Page 38: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/38.jpg)
3: Estructura del Estandar
• Detalle para Asistir al uso y aplicación más ameno y fácil del estándar
4: Risk Assessment & Treatment
• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES
• La necesidad de un continuo assesment y administración de los RIESGOS
• Highlights sobre la importancia de la participación del Management en el análisis de RIESGOS
Hay dos SECCIONES GENERALES nuevas
![Page 39: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/39.jpg)
Cumplimiento15. Cumplimiento12.
Administración de la Continuidad del Negocio
14. Administración de la Continuidad del Negocio
11.
Administración de Incidentes de Seguridad de la Información
13.
Adquisición , Desarrollo y Mantenimiento de Sistemas de Información
12. Desarrollo y Mantenimiento de Sistemas
10.
Administración de Accesos11. Administración de Accesos9.
Administración de las Comunicaciones y Operaciones
10. Administración de las Comunicaciones y Operaciones
8.
Physical & Environmental Security9. Seguridad Físca y Ambiental7.
Seguridad de los Recursos Humanos8. Seguridad del Personal6.
Administración de Activos7. Clasificación y Control de Activos
5.
Organización de la Seguridad de la Información
6. Organización de la Seguridad de la Información
4.
Política de Seguridad5. Política de Seguridad3.
Evaluación y Manejo de los Riesgos4.
Estructura del Estándar3.
Términos y definiciones2. Términos y definiciones2.
Alcance1. Alcance1.
ISO17799:2005ISO17799:2000
ISO17799:2000 vs ISO17799:2005
![Page 40: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/40.jpg)
BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005
De la misma forma se espera quela ISO 17799 se convierta en ISO 27002
![Page 41: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/41.jpg)
NACE LA FAMILIA DE LAS NORMAS ISO 27000
• ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn)
• ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007
• ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005
• ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005
![Page 42: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/42.jpg)
Preservar la:
confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:exactitud y totalidad de la información y los métodos de procesamiento.
disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
Norma ISO 17799 Seguridad de la Información
![Page 43: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/43.jpg)
TRACK IV :
Cómo se implementa un Programa de Gestión de
Seguridad de la Información (ISMS)?
![Page 44: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/44.jpg)
Porqué Implementar un ISMS / SISTEMA DE GESTION ISO 17799?
Algunas consideraciones generales de porquéimplementarlo:
•Para poder tener una Metodológica dedicada a la seguridad de información reconocida internacionalmente
•Contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la información
![Page 45: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/45.jpg)
•Diferenciarse en el mercado de otras organizaciones
•Satisfacer requerimientos de clientes, proveedores y Organismos de Contralor
•Potenciales disminuciones de costos e inversiones
•FORMALIZAR las responsabilidades operativas y LEGALES de los USUARIOS Internos y Externos de la Información
•Cumplir con disposiciones legales (por ej. Leyes de Protección de Datos, Privacidad, etc.)
•Tener una Metodología para poder ADMINISTRAR los RIESGOS
![Page 46: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/46.jpg)
Planificar
Hacer
Actuar
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS ISO en general:
![Page 47: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/47.jpg)
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;
Factores críticos del éxito
![Page 48: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/48.jpg)
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición que
se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
![Page 49: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/49.jpg)
Principales PASOS a seguir en la IMPLEMENTACION del SGSI
Implementación del SGSI en 12 PASOS:
Para un entendimiento PRACTICO del Proceso de IMPLEMENTACION del SGSI, se definen a continuación las principales TAREAS a incluir en el PLAN de ACCION son:
1)Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología
2)Definir una Política GENERAL del SGSI
![Page 50: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/50.jpg)
3)Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS
4)Identificar y Valorar los riesgos
5)Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:
•Aplicar controles•Aceptar los riesgos•Evitar riesgos•Transferir los riesgos asociados de las actividades a otras
partes (ejemplo a Compañías de Seguros)
![Page 51: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/51.jpg)
6)Seleccionar objetivos de control y controles específicos a IMPLEMENTAR
El detalle de los controles se incluye en la Sección Dominios de ISO 17799.
Cualquier EXCLUSION de controles que se considera como necesaria para satisfacer el criterio de aceptación de riesgo, se debe justificar y se debe proporcionar la evidencia. Cuando se realizan exclusiones, no se podráalegar conformidad con esta norma a menos que dichas exclusiones no afecten la capacidad de la organización, y/o su responsabilidad para proveer seguridad de información cumpliendo con los requisitos de seguridad determinados por la evaluación de riesgo y los requisitos regulatorios aplicables.
![Page 52: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/52.jpg)
7)Preparar una DDA Declaración de Aplicabilidad (quéCONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y concientización de
usuarios• Gestionar el SGSI• Procesos de detección y respuesta a los incidentes
de seguridad
![Page 53: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/53.jpg)
10) Implementar los CONTROLES•Controles en los Procesos de Usuarios•Controles Automáticos en las Tecnologías•Documentación de respaldo•Registros de respaldo
11)Realizar Revisiones Periódicas (Auditoría Interna y la Dirección):
•controles implementados•nuevos riesgos•riesgos residuales
12)Implementar las mejoras identificadas en el SGSI
![Page 54: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/54.jpg)
Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI
Es necesario también tener en cuenta que más allá de la implementación, es necesario el MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación de respaldo del SGSI, para lo cual hay que establecer:
•Documentación mínima de respaldo•Procedimiento de Gestión de dicha documentación
![Page 55: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/55.jpg)
Documentación MINIMA del SGSI:
a) Declaraciones documentadas de la política de seguridad y los objetivos de control
b) El alcance, los procedimientos y controles de apoyo
c) El informe de evaluación de riesgos
d) El plan de tratamiento de riesgo
e) Los procedimientos documentados necesarios para la planificación, la operación y el control del SGSI
![Page 56: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/56.jpg)
f)Los registros requeridos:
Los registros se deben establecer y mantener para proveer evidencia de conformidad con los requisitos, deben permanecer legibles, fácilmente identificables y recuperables. Algunos ejemplos: logs de los sistemas para auditorías, formularios firmados de accesos, etc.
g) La DDA Declaración de Aplicabilidad
![Page 57: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/57.jpg)
Procedimiento de GESTION de la Documentación
Los documentos requeridos deben cumplir con los requerimientos FORMALES del ISMS para:
a) aprobar los documentos previos a su distribución
b) revisar y actualizar los documentos según la necesidad y aprobarlos nuevamente
c) asegurarse de que los cambios y las revisiones de los documentos estén identificados
![Page 58: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/58.jpg)
d) asegurarse de que las versiones más recientes de los documentos pertinentes están disponibles en cualquier punto de uso
e) asegurarse de que los documentos se mantengan legibles y fácilmente identificables
f) asegurarse de que los documentos de origen externo estén identificados
g) asegurarse de que la distribución de documentos este controlada
![Page 59: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/59.jpg)
h) prevenir el uso no intencionado de documentos obsoletos
i) realizar una adecuada identificación si se retienen por cualquier causa
NOTA: existen Software que ayudan al mantenimiento de esta Gestión Documental disponibles en el mercado.
![Page 60: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/60.jpg)
Cómo establecer los requerimientos de Seguridad
Evaluar los riesgos: • se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.
![Page 61: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/61.jpg)
TRACK V :
Cómo es un Proceso de Certificación ISO 27001 de una
Organización?
![Page 62: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/62.jpg)
QUÉ ES CERTIFICAR?
El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
![Page 63: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/63.jpg)
PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.
Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
![Page 64: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/64.jpg)
QUE ORGANIZACIONES PUEDEN CERTIFICAR?
Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, estáen condiciones y habilitada para CERTIFICARSE.
![Page 65: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/65.jpg)
QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?
Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
![Page 66: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/66.jpg)
LA CERTIFICACION ES SEGÚN ISO 17799 O SEGÚN ISO27001?
Las Organizaciones implementan de acuerdo a ISO17799-1 pero las Empresas Certificadoras utilizan el ISO27001 (antes BS7799-2) para hacer los Informes de Certificación.
![Page 67: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/67.jpg)
COMO ES EL PROCESO DE CERTIFICACION?
El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.
Luego se convoca al Tercero para efectuar la CERTIFICACION.
![Page 68: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/68.jpg)
Los principales PASOS son:
•Preparar la Documentación Soporte a Presentar
•Efectuar la PREAUDITORIA para conocer el GAP Analisis respecto al Estándar
•Identificar conjuntamente:
•las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)•las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)•las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)
![Page 69: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/69.jpg)
•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes
•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)
![Page 70: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/70.jpg)
•Gestionar los respaldos para la Acreditación Internacional de la Certificación lograda
•Auditorías periódicas de la Empresa Certificadora para validar el continuo cumplimiento de los Requerimientos de la Normativa
![Page 71: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/71.jpg)
PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?
Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
![Page 72: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/72.jpg)
TRACK VI :
Principales controles definidos en cada uno de los Dominios de
la ISO17799:2005
![Page 73: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/73.jpg)
Dominios de Norma ISO 17799
Dominio 1 - Política de Seguridad
![Page 74: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/74.jpg)
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
ExactitudIntegridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Dominio 1: POLÍTICA DE SEGURIDAD
![Page 75: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/75.jpg)
Dominio 1: POLÍTICA DE SEGURIDAD
Procedimientos Estándares técnicos
Normas
Política General
Manual de Gestión de Seguridad
![Page 76: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/76.jpg)
Dominio 2
Organización de la Seguridad
![Page 77: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/77.jpg)
Sponsoreo y seguimiento• Dirección de la Compañía• Foro / Comité de Seguridad
Autorización• Dueño de datos
Definición• Área de Seguridad Informática• Área de Legales
AdministraciónAdministrador de Seguridad
Cumplimiento directoUsuarios finalesTerceros y personal contratadoÁrea de sistemas
ControlAuditoría InternaAuditoría Externa
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Principales roles y funciones
![Page 78: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/78.jpg)
Dominio 3
Administración de Activos
![Page 79: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/79.jpg)
Dominio 3: Administración de Activos
1. Identificación de la información más crítica
Identificar información: cuál es la más crítica
Identificación de los sistemas / equipos / documentos donde se conserva la información
![Page 80: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/80.jpg)
Dominio 3: Administración de Activos
2. Identificación de los principales riesgos
Para facilitar la identificación de los riesgos más críticos se pueden utilizar las siguientes categorías:
Fraudes informáticosAtaques externos a las redesModificaciones no autorizadas de datos por empleadosAcceso y difusión inoportuna de datos sensiblesFalta de disponibilidad de los sistemas Software ilegalFalta de control de uso de los sistemasDestrucción de información y equipos
![Page 81: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/81.jpg)
Dominio 3: Administración de Activos
Según su origen se pueden agrupar en:
NaturalesIntencionalesNo intencionales
Estos riesgos pueden ser clasificados en los siguientes tipos:
Difusión indebidaAlteración no autorizadaFalta de disponibilidad
![Page 82: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/82.jpg)
Dominio 3: Administración de Activos
Se debe definir quiénes son los principales agentes de riesgo para la información de cada Dueño de Datos:
Espías comerciales / CompetidoresEmpleados deshonestosDelincuentes profesionalesTerroristas informáticosEx-empleados disconformes“Hackers”, “Crackers” y similaresProveedoresClientesOperadores BursátilesCompañías asociadas
![Page 83: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/83.jpg)
Dominio 3: Administración de Activos
3. Clasificación de la información teniendo en cuenta los riesgos identificados
1. Análisis de los principales riesgos a la que está expuesta.
2. Categorización en Confidencial, Restringida o Pública.3. Identificación para determinar si se encuentra en medios
electrónicos y/o en medios físicos.4. Aprobación de los sectores / usuarios que deben acceder a la
información crítica con permisos
5. Consolidación.
![Page 84: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/84.jpg)
Dominio 4
Seguridad de los Recursos Humanos
![Page 85: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/85.jpg)
Dominio 4: Seguridad de los Recursos Humanos
4.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos
Objetivo:
Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.
Las responsabilidades en materia de seguridad deben ser:
expliicadas en la etapa de reclutamiento,incluidas en los contratos ymonitoreadas durante el desempeño como empleado.
![Page 86: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/86.jpg)
Dominio 4: Seguridad de los Recursos Humanos
Acuerdos de confidencialidad
Los empleados deben firmar habitualmente un acuerdo de esta índole como parte de sus términos y condiciones iniciales de empleo.
El personal ocasional y los usuarios externos aún no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) deberán firmar el acuerdo mencionado antes de que se les otorgue acceso a las instalaciones de procesamiento de información.
Los acuerdos de confidencialidad deben ser revisados cuando se identifican cambios en los términos y condiciones de empleo o del contrato.
![Page 87: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/87.jpg)
Dominio 4: Seguridad de los Recursos Humanos
4.2 Capacitación del usuario
Objetivo:
Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
![Page 88: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/88.jpg)
Dominio 4: Seguridad de los Recursos Humanos
Algunas consideraciones a tener en cuenta en el procesode concientización
Involucrar a TODO el personal de la Compañía.“Sponsorearlo” por la Dirección.
Asegurar su permanencia a lo largo del tiempo."Agregar valor” a los usuarios.Definir mecanismos de control de la participación de todo el personal.Implementar sanciones disciplinarias para los que no participen.Definir medidas en caso que algún miembro del personal deje la Compañía.
![Page 89: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/89.jpg)
Dominio 4: Seguridad de los Recursos Humanos
Estrategias de Concientizaciòn
Usuarios finalesTercerosPersonal del Area de Sistemas
![Page 90: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/90.jpg)
Dominio 4: Seguridad de los Recursos Humanos
Usuarios Finales
Actividades
En persona Por escritoEn los sistemas
![Page 91: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/91.jpg)
En persona
• Presentaciones gráficas al personal de cada sector.• Inducción a recursos nuevos.• Videoconferencias a usuarios.• Trabajos en grupos para análisis de casos prácticos.• Reuniones con el personal clave de cada grupo humano.• Inventarios de software en las estaciones de trabajo.
Dominio 4: Seguridad de los Recursos Humanos
![Page 92: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/92.jpg)
Por escrito
• Incorporación de conceptos de seguridad en evaluaciones anuales de performance.
• Compromisos firmados por el personal actual y nuevo, adjuntar en sus respectivos legajos (carpetas).
• Firma anual de actualización de la conformidad.• Distribución de material gráfico al personal.• Mensajes en cartelera.
Dominio 4: Seguridad de los Recursos Humanos
![Page 93: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/93.jpg)
En los sistemas
• Pantalla de inicio en los sistemas.• Correos electrónicos periódicos.• Entrenamiento interactivo.• Intranet de seguridad informática.• Concursos con temarios relacionados y premios atractivos.
Dominio 4: Seguridad de los Recursos Humanos
![Page 94: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/94.jpg)
Personal de Sistemas
• Seleccionar los temas y procedimientos más críticos• Identificar dentro de las normas de Seguridad desarrolladas,
cuáles son:– Los temas más sensibles a la operatoria de la compañía.– Los procedimientos que requieran un mayor conocimiento
de la gente.• Definir capacitación según perfil de cada sector:
– Operaciones– Analistas– Programadores– Desarrollo– Tecnología– Responsables de área
Dominio 4: Seguridad de los Recursos Humanos
![Page 95: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/95.jpg)
Terceros: identificar los distintos “tipos”• De contacto directo
– Clientes– Proveedores– Auditores externos– Compañías asociadas
• De contacto institucional– Cámaras empresariales– Organismos de contralor– Gobierno– Accionistas– Comunidad en general
Dominio 4: Seguridad de los Recursos Humanos
![Page 96: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/96.jpg)
Dominio 4: Seguridad de los Recursos Humanos
4.3 Proceso disciplinario
Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización.
![Page 97: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/97.jpg)
Dominio 5
Seguridad Física y Ambiental
![Page 98: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/98.jpg)
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Protección de:
SedesInstalacionesDocumentos Impresos
![Page 99: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/99.jpg)
Dominio 6
Gestión de Operaciones y Comunicaciones
![Page 100: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/100.jpg)
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
6.1 Procedimientos y responsabilidades operativas
Objetivo:
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.
Se debe implementar la separación de funciones cuando corresponda.
![Page 101: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/101.jpg)
Dominio 7
Sistema de Control de Accesos
![Page 102: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/102.jpg)
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
7.1 Requerimientos de negocio para el control de accesos
Objetivo:
Controlar el acceso de información.
![Page 103: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/103.jpg)
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Política de control de accesos
Requerimientos de políticas y de negocios
Las reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidos en una declaración de política de accesos:
requerimientos de seguridad de cada una de las aplicaciones comerciales;identificación de toda información relacionada con las aplicaciones comerciales;políticas de divulgación y autorización de información;
![Page 104: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/104.jpg)
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes;legislación aplicable y obligaciones contractuales con respecto a la protección del acceso a datos y servicios;perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo ;administración de derechos de acceso.
![Page 105: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/105.jpg)
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Reglas de control de accesos
diferenciar entre reglas que siempre deben imponerse y reglas optativas o condicionales; establecer reglas sobre la base de la premisa “debe estar prohibido a menos que se permita expresamente”;reglas que requieren aprobación antes de entrar en vigencia.
![Page 106: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/106.jpg)
Dominio 8
Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información
![Page 107: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/107.jpg)
Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
8.1 Requerimientos de seguridad de los sistemas.
Objetivo:
Asegurar que la seguridad es incorporada a los sistemas de información.
Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.
![Page 108: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/108.jpg)
Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Análisis y especificaciones de los requerimientos de seguridad
Se deben considerar los controles automáticos a incorporar al sistema y la necesidad de controles manuales de apoyo.
Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.
![Page 109: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/109.jpg)
Dominio 9
Administración de Incidentes de Seguridad de la Información
![Page 110: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/110.jpg)
Dominio 9: Administración de Incidentes de Seguridad de la Información
Respuesta a incidentes y anomalías en materia de seguridad
Objetivo:
Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
![Page 111: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/111.jpg)
Dominio 9: Administración de Incidentes de Seguridad de la Información
Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales.
Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidentes.
La organización debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad.
![Page 112: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/112.jpg)
Comunicación de incidentes relativos a la seguridad
Se debe establecer un procedimiento formal de:
comunicación,respuesta a incidentes, "feedback" a la persona luego de resueltos.
Estos incidentes pueden ser utilizados durante la capacitación a fin de crear conciencia de seguridad en el usuario.
Dominio 9: Administración de Incidentes de Seguridad de la Información
![Page 113: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/113.jpg)
Dominio 10
Plan de Continuidad del Negocio
![Page 114: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/114.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Principales etapas
• Clasificación de los distintos escenarios de desastres• Evaluación de impacto en el negocio• Desarrollo de una estrategia de recupero• Implementación de la estrategia• Documentación del plan de recupero• Testeo y mantenimiento del plan
![Page 115: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/115.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Clasificación de los distintos escenarios de desastres
Identificar los distintos tipos de “desastres”Ponderar su ocurrencia Fijar el alcance del proyecto a los desastres de mayor probabilidad
![Page 116: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/116.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Evaluación de impacto en el negocio
Definir los perjuicios “claves” en la evaluación del impacto en el negocio.Identificar los usuarios claves de cada sector.Relevar las funciones críticas del negocio.Definir un tiempo máximo para disponer de la información sin que impacte en el negocio.Efectuar estimaciones económicas del perjuicio para la compañía.Definir las funciones críticas que se identifican para la recuperación.
![Page 117: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/117.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Selección de una estrategia de recupero
Analizar impacto de desastres seleccionados y funciones críticas identificadas en los equipos de procesamiento.Definir alternativas de recupero del procesamiento.Analizar los costos actuales y futuros de las solucionesElegir la/las soluciones a implementar
![Page 118: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/118.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Implementación de la estrategiaDesarrollar las medidas a implementar en cada una de las etapas:
Identificación del desastre.“Declaración” del desastre.Actividades a desarrollar durante el desastre.Recuperación del procesamiento para volver a la “situación normal”.
Suscribir los contratos comerciales necesarios para la ejecución de los procedimientos seleccionados.Suscribir los contratos de seguros en caso de ser definido.
![Page 119: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/119.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Implementar los mecanismos tecnológicos necesarios.Asignar las responsabilidades a cada una de laspersonas / sectores de la Compañía involucradas en el Plan.Capacitar al personal involucrado.Definir acciones complementarias:
Comunicación a clientes y proveedores.Distribución física de lugares de trabajo del personal.Estrategias de trabajo “en cada casa”.Otros recursos (teléfonos, fax, etc).Aspecto “humano” del plan.
![Page 120: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/120.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Documentación del plan de recupero
Desarrollar los procedimientos técnicos y funcionales.Desarrollar los inventarios de personal, hardware, software, etc.
![Page 121: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/121.jpg)
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Testeo y mantenimiento del plan
Testeoo Desarrollar pruebaso Asemejar pruebas a la realidad.
Mantenimientoo Definir mecanismo para su actualización.o Efectuar pruebas periódicas del correcto
funcionamiento
![Page 122: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/122.jpg)
Dominio 11
Cumplimiento
![Page 123: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/123.jpg)
Dominio 11: Cumplimiento
11.1 Cumplimiento de requisitos legales
Objetivo:
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
![Page 124: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/124.jpg)
Dominio 11: Cumplimiento
El diseño, operación, uso y administración de los sistemas de información pueden estar sujetos a requisitos de seguridad legal, normativa y contractual.
Se debe procurar asesoramiento sobre requisitos legales específicos por parte de los asesores jurídicos de la organización, o de abogados convenientemente calificados.
Los requisitos legales varían según el país y en relación con la información que se genera en un país y se transmite a otro.
![Page 125: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/125.jpg)
Dominio 11: Cumplimiento
Identificación de la legislación aplicable
Se deben definir y documentar claramente todos los requisitos legales, normativos y contractuales pertinentes para cada sistema de información.
![Page 126: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/126.jpg)
Dominio 11: Cumplimiento
11.2 Revisiones de la política de seguridad y la compatibilidad técnica
Objetivo:
Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización.
![Page 127: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/127.jpg)
Dominio 11: Cumplimiento
La seguridad de los sistemas de información debe revisarse periódicamente.
Dichas revisiones deben llevarse a cabo con referencia a las políticas de seguridad pertinentes y las plataformas técnicas y sistemas de información deben ser auditados para verificar su compatibilidad con los estándares (normas) de implementación de seguridad.
![Page 128: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/128.jpg)
Dominio 11: Cumplimiento
11.3 Consideraciones de auditoria de sistemas
Objetivo:
Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.
Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
Asimismo, se requiere una protección adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria.
![Page 129: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/129.jpg)
TRACK VII :
Taller Práctico FINALElaboración de un Programa General de Seguridad para
preparar a la Compañía para Certificar
![Page 130: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/130.jpg)
R Identificación de los principales riesgosinformáticos para su compañía
P Definición por la Dirección de una políticabásica de seguridad
A Acción concreta en dos frentes:
Normativo
Implementación de un Programa de Seguridad
Ejecutivo
![Page 131: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/131.jpg)
Identificación de riesgos en su compañía
Fraudes informáticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos
R
Clasificación de los más críticos
![Page 132: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/132.jpg)
Personas y Organizacionesdentro y/o fuera
Identificación de riesgos en su compañíaR
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores “in company”
Compañías asociadas
![Page 133: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/133.jpg)
en los sistemas centrales
en las PC´s
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay información sensible
Identificación de riesgos en su compañíaR
![Page 134: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/134.jpg)
Definición de una política básica de seguridad
Breve
Clara
Implementable
Puesta en marcha por la Dirección
Difundida al personal y terceros
P
![Page 135: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/135.jpg)
Definición de una política básica de seguridad
P
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
ExactitudIntegridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
![Page 136: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/136.jpg)
Sponsoreo y seguimiento
• Dirección de la Compañía
• Comité de Seguridad
Autorización
• Dueños de datos
Definición
• Area de Seguridad Informática
• Area de Legales
Identificación de responsabilidades de seguridad
Acción concreta: Plano NormativoA
Cumplimiento directo
• Usuarios finales
• Terceros y personal contratado
• Area de sistemas
Administración
• Administrador de Seguridad
Control
• Auditoría Interna / Externa
![Page 137: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/137.jpg)
Acción concreta: Plano Normativo
Normas con definiciones
Procedimientos con acción de usuarios
Estándares técnicos para los sistemas
Esquema de reportes de auditoría
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa básica y publicación
A
![Page 138: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/138.jpg)
Definición de acciones a sancionar y medidas disciplinarias a imponer
Comunicación al personal y terceros “in company”
Utilización de convenios de confidencialidad
Definición de un sistema de “premios y castigos” en su compañía
Acción concreta: Plano NormativoA
![Page 139: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/139.jpg)
Perfil de la función
Análisis de riesgos informáticos
Participación en proyectos especiales
Administración del día a día
Objetivos y tareas básicas
Programas de trabajo rutinarios
Automatización de tareas y reportes en los sistemas
Definición e implementación de la función de Seguridad Informática
Acción concreta: Plano EjecutivoA
![Page 140: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/140.jpg)
Administración de Usuarios y Permisos en los SistemasSeparación de Ambientes de TrabajoLicencias legales de SoftwareCopias de RespaldoSeguridad Física de las Instalaciones y RecursosPrevención de Virus y Programas MaliciososSeguridad en las ComunicacionesAuditoría Automática y Administración de Incidentes de SeguridadUso del Correo ElectrónicoUso de Servicios de Internet
Mejoras en los procesos del área de Sistemas
Acción concreta: Plano EjecutivoA
![Page 141: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/141.jpg)
Redes internasAccesos externosBases de datos
Sistemas aplicativosCorreo electrónico
Servidores, PC´s y laptopsSeguridad física
Integración con otras tecnologías
Parametrización de las redes y lossistemas de una forma más segura
Análisis de la posibilidad de uso de softwares de seguridad avanzada(encripción, administración centralizada, monitoreo automático)
Acción concreta: Plano EjecutivoA
![Page 142: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/142.jpg)
Acciones preventivas de monitoreo las 24 hsImplementación de Help Desk de SeguridadCircuitos de reportes de incidenciasMonitoreos periódicosAuditorías
Implementación de monitoreos de incidentes de seguridad
Acción concreta: Plano EjecutivoA
![Page 143: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/143.jpg)
Capacitación a los usuarios en seguridad
Usuarios finales
Usuarios del área de sistemas
Terceros “in company”
Intranet de seguridad
Correo electrónico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Acción concreta: Plano EjecutivoA
Utilizando la tecnología y los medios disponibles
![Page 144: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/144.jpg)
TRACK VIII :
MODELO ANUAL DE GESTION CONTINUA
![Page 145: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/145.jpg)
Diagnóstico Inicial:
• Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.
• 2 a 3 semanas
Implemente Ud. Mismo el ISMS ISO 17799
![Page 146: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/146.jpg)
Módulos:
• Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrávariar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.
Implemente Ud. Mismo el ISMS ISO 17799
![Page 147: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/147.jpg)
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 1:
• Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía
• Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible
• Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)
![Page 148: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/148.jpg)
Módulo 2:
• Definir, aprobar y difundir la Política de Seguridad de la Compañía
• Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía
• Definir y difundir las responsabilidades de Seguridad de la Información de cada sector de la Compañía
• Implementar Esquema de Propietarios de Datos
Implemente Ud. Mismo el ISMS ISO 17799
![Page 149: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/149.jpg)
Módulo 3:
• Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros
• Iniciar proceso de redacción de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
![Page 150: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/150.jpg)
Módulo 4:
• Finalizar Clasificación de Información• Relevar medidas implementadas en
las funciones del área de sistemas
Implemente Ud. Mismo el ISMS ISO 17799
![Page 151: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/151.jpg)
Módulo 5:
• Finalizar la Redacción y Difundir las Normas de Seguridad
• Implementar las definiciones de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
![Page 152: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/152.jpg)
Módulo 6:
• Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas
• Implementar mejoras en los sectores usuarios para información impresa
Implemente Ud. Mismo el ISMS ISO 17799
![Page 153: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/153.jpg)
Módulo 7:
• Iniciar proceso de redacción de Procedimientos críticos
• Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información
Implemente Ud. Mismo el ISMS ISO 17799
![Page 154: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/154.jpg)
Módulo 8:
• Finalizar la redacción y difundir los Procedimientos críticos
• Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
Implemente Ud. Mismo el ISMS ISO 17799
![Page 155: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/155.jpg)
Módulo 9:
• Implementar los Procedimientos de Seguridad Críticos
• Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad
Implemente Ud. Mismo el ISMS ISO 17799
![Page 156: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/156.jpg)
Módulo 10:
• Definir junto a RRHH mecanismos de Control y Sanciones
• Efectuar la Concientización de Usuarios de toda la Compañía
Implemente Ud. Mismo el ISMS ISO 17799
![Page 157: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/157.jpg)
Módulo 11:
• Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoríade Certificación ISO)
Implemente Ud. Mismo el ISMS ISO 17799
![Page 158: Isec iso17799 iso 27001 intensivo](https://reader031.vdocuments.co/reader031/viewer/2022020715/55863332d8b42a56578b51c3/html5/thumbnails/158.jpg)
Módulo 12:
• Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799
Implemente Ud. Mismo el ISMS ISO 17799