iso 27001 sistemas de gestiÓn de la seguridad de la informaciÓn iso 27001 base de datos

ISO 27001

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN

ISO 27001ISO 27001

Base de datos

ISO 27001 Es un conjunto de datos acerca de algún suceso,

hecho, fenómeno o situación, que organizados en

un contexto determinado tienen un significado y

que tiene el propósito de reducir la incertidumbre

o incrementar el conocimiento de algo.

Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos,

CDs, etc…) Oral (teléfono, móvil, etc.) Video, fotos

Qué es Información?

ISO 27001

La Información en las Empresas

Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.

ISO 27001

La Información en las EmpresasEstos activos pueden ser clasificados de la siguiente forma:

• Activos de Información (datos, manuales de usuario, etc.)

• Documentos en Papel (contratos)

• Activos de software (aplicación, software de sistema, etc.)

• Activos físicos (computadores, medios magnéticos, etc.)

• Personal (clientes, trabajadores)

• Imagen y reputación de la organización• Servicios (comunicaciones, etc.)

ISO 27001

Confidencialidad

Integridad

Disponibilidad de la información

La seguridad de información se caracteriza por la preservación de:

Qué es seguridad de la Información?

ISO 27001

Identificación de AmenazasTipos de Amenazas

Amenazas

Naturales

Amenazas a Instalaciones

Amen

azas

Tecnol

ógica

s

Amenazas Sociales

Amenazas

Humanas

Amen

azas

Ope

raci

onal

es

ISO 27001

VulnerabilidadesTipos de Vulnerabilidades

Gestión operaciones

y comunicación

Seguridad de los recursos humanos

Man

tenim

iento

,

desar

rollo

de S

ist. d

e

info

rmac

ión

Seguridad física y ambiental

Con

trol

de

Acc

eso

ISO 27001

Seguridad de la InformaciónSGSI

ISO 27001

¿Seguridad de la Información ?• La información es un activo que como otros activos

importantes tiene valor y requiere en consecuencia una protección adecuada.

• La información puede estar:

• Impresa o escrita en papel.

• Almacenada electrónicamente.

• Trasmitida por correo o medios electrónicos

• Mostrada en filmes.

• Hablada en conversación.

• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

ISO 27001

Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

• “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”.

• “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”

ISO 27001

1Planificar

3Revisar

4Actuar

2Hacer

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información


ISO 27001

3Revisar

4Actuar

2Hacer

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información

1Planificar


ISO 27001


• Planificar.• Definir el enfoque de evaluación del riesgo de

la organización.• Establecer metodología de cálculo del riesgo.

• Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo.

• Identificar los riesgos asociados al alcance establecido.

• Analizar y evaluar los riesgos encontrados.

ISO 27001


• Planificar.

• Identificar y evaluar las opciones de tratamiento de los riesgos.

• Aplicar controles.

• Aceptarlo de acuerdo a los criterios de aceptación.

• Evitarlo.

• Transferirlo.

• Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.

• Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.

• Preparar el Enunciado de Aplicabilidad.

ISO 27001

1Planificar

3Revisar

4Actuar

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información


2Hacer

ISO 27001


• Hacer.• Plan de tratamiento del riesgo.• Implementar el plan de tratamiento del riesgo.• Implementar controles seleccionados.• Definir la medición de la efectividad de los

controles a través de indicadores de gestión.• Implementar programas de capacitación.• Manejar las operaciones y recursos del SGSI.• Implementar procedimientos de detección y

respuesta a incidentes de seguridad.

ISO 27001

1Planificar

4Actuar

2Hacer

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información


3Revisar

ISO 27001


• Revisar.• Procedimientos de monitoreo y revisión para:

• Detectar oportunamente los errores.

• Identificar los incidentes y violaciones de seguridad.

• Determinar la eficacia del SGSI.

• Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.

• Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.

• Realizar revisiones periódicas.

ISO 27001


• Revisar.• Medición de la efectividad de los controles.

• Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.

• Realizar auditorías internas al SGSI.

• Realizar revisiones gerenciales.

• Actualizar los planes de seguridad a partir de resultados del monitoreo.

• Registrar las acciones y eventos con impacto sobre el SGSI.

ISO 27001

1Planificar

3Revisar

2Hacer

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información


4Actuar

ISO 27001


• Actuar.• Implementar las mejoras identificadas en el

SGSI.• Aplicar acciones correctivas y preventivas de

seguridad al SGSI.• Comunicar los resultados y acciones a las partes

interesadas.• Asegurar que las mejoras logren sus objetivos

señalados.

ISO 27001

Seguridad de la InformaciónSGSI

ISO 27001

Mantenimiento y mejora del SGSI (Act)

• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.

• Medir el desempeño del SGSI.• Identificar mejoras en el SGSI a fin de implementarlas.• Tomar las apropiadas acciones a implementar en el

ciclo en cuestión (preventivas y correctivas).

• Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.

• Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

ISO 27001

Estructura de la Documentación Requerida

Nivel IV

Nivel I

Nivel III

Nivel II

Enfoque de la GerenciaPolítica, Alcance, Evaluación Riesgo

Manual de Seguridad

Descripción de procesos,Quién hace qué y cuándo

Procedimientos

Describe tareas específicas y cómo se realizan

Instrucciones de Trabajo

Provee evidencia objetiva de la conformidad con SGSI

Registros

ISO 27001

Factores Claves de Éxito en la Implementación de un SGSI

• Política de seguridad documentada y alineada con los objetivos del negocio.

• Apoyo y participación visible de la alta gerencia.

• Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.

• Compatibilidad con la cultura organizacional.

• Entrenamiento y educación.

ISO 27001

Conclusiones• Hoy en día las organizaciones

dependen en gran medida de su tecnología y sus activos de información.

• Por lo anterior, impera una protección adecuada a las informaciones importantes.

• Seguridad no es un producto, es un proceso que debe ser administrado.

ISO 27001

Conclusiones

• Nada es estático, la seguridad no es la excepción. Mejora continua.

• Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.

ISO 27001

Preguntas y Respuestas

iso 27001 sistemas de gestiÓn de la seguridad de la informaciÓn iso 27001 base de datos

Documents