Integración de continuidad del negocio con iso27001 v2
-
Upload
maricarmen-garcia-de-urena -
Category
Business
-
view
78 -
download
0
Transcript of Integración de continuidad del negocio con iso27001 v2
Maricarmen García - SecureInformationTechnologies
Integración de Continuidad del Negocio con Seguridad de la Información ISO 27001
PwC
Agenda:
Introducción
El ISO 27001
Integración de Continuidad del Negocio con Seguridad de la Información
Conclusiones
Preguntas
PwC
Introducción
"Preservación de la Confidencialidad, integridad y disponibilidad… “
* Fuente: ISO 27002
"El único sistema totalmente seguro es aquel que esta apagado, desconectado, guardado en una caja fuerte de titanio, encerrado en un bunker de concreto,
rodeado por gas venenoso y cuidado por guardias bien armados y pagados. Aún así no apostaría mi vida por él”* Fuente: Eugene H. Spafford
PwC
Introducción
Un Sistema de Gestión de Seguridad de la Información (SGSI), protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
* Fuente: Maricarmen García
PwC
El ISO 27001
Finca las bases para una implementación de un Sistema de
Gestión de Seguridad de la Información SGSI, así conforme con el
estándar es posible cumplir con los requerimientos en caso de buscar una
certificación.
PwC
ISO/IEC 27001
Norma ISO/IEC 27001
ISO/IEC 27001:2005 -Requerimientos para la Gestión de Seguridad de la InformaciónParte 1
ISO/IEC 27002Código de Práctica para la Seguridad de la InformaciónParte 2
PwC
ISO/IEC 27002Código de Práctica para la
Seguridad de la Información
0. Introducción
1. Alcance
2. Términos y definiciones
3. Estructura de la Norma
4. Evaluación y tratamiento de riesgo
5. Política de Seguridad
6. Organización de Seguridad de la Información
7. Administración de Activos
8. Seguridad de los Recursos Humanos9. Seguridad física y
del ambiente
10. Administración de las comunicaciones y operaciones
11. Control de Acceso
12. Adquisición, desarrollo y mantenimiento de sistemas de información
13. Administración de incidentes de seguridad de la información
14. Administración de la Continuidad del Negocio
15. Cumplimiento
Bibliografía
Indice
Estructura del ISO 27002
PwC
Las razones por las que un control como el de Continuidad del Negocio debe ser completamente implementado son:
• Está justificado por la exposición al riesgo• Evalúa anticipadamente las limitantes financieras
y provisiona los recursos necesarios para la continuidad
• Algunas medidas no son técnicamente factibles, pero deben de ser consideradas las alternativas mediante estrategias de continuidad
• Identifica las limitantes sociológicas• Algunos requerimientos no pueden ser
implementados ahora, por lo que deben ser gestionados previamente
PwC
Anexo A.14.1 Continuidad del negocio
A.14.1.1. Incluir a la Seguridad de la Información en el proceso de administración de Continuidad del Negocio
A.14.1.2. Continuidad del Negocio y Análisis de Riesgos
A.14.1.3. Desarrollo e implementación de Planes de Continuidad incluyendo la Seguridad de la Información
A.14.1.4. Marco de trabajo de la planeación de la Continuidad del Negocio
A.14.1.5. Pruebas, mantenimiento y reevaluación de los Planes de Continuidad del Negocio
Integración de Continuidad del Negocio en ISO 27001
PwC Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011
Integración de Continuidad del Negocio en ISO 27001 – Principales Amenazas de seguridad
PwC
Integración de Continuidad del Negocio en ISO 27001
ISO 27001 requiere garantizar la continuidad de los procesos que se protegerán conforme al valor que
aportan en la empresa, por lo que es importante identificar el método de
continuidad que se requiere conforme a dichos procesos.
PwC
Integración de Continuidad del Negocio en ISO 27001
Alternativas para el cumplimiento de A.14.1…
PwC
BS 25999 -1
Fuente: British Standards Institution – BS25999-2:2007
Integración de Continuidad del Negocio en ISO 27001
PwC
Fuente: British Standards Institution – BS25999-2:2007
BS 25999 - 2
Integración de Continuidad del Negocio en ISO 27001
PwC
Beneficios de integración
• Preservar el valor de la organización• Gestionar riesgos relacionados con el uso de
información• Evaluar estrategias de continuidad conforme a
los riesgos de seguridad detectados sin perder de vista el impacto en el negocio
• Asegurar la continuidad operativa• Mejorar el servicio• Mantener y mejorar la imagen de la institución• Mejorar la eficiencia
PwC
Conclusiones:
La implementación exitosa de Seguridad de la
información requiere de un programa de
continuidad detallado y estratégico y sobre todo
requiere que sea ideado y conducido para operar
de forma segura en el momento en que se requiere
activar la continuidad del negocio.
Lo fundamental es que quienes conforman la alta
dirección, tengan completa claridad en cuánto a las
razones de la implementación conforme a mejores
prácticas de continuidad y cuál será el resultado
final.
PwC
CONSULTAS
Maricarmen GarcíaSecureInformationTechnologies |
Directora GeneralPhone : (55) 5524-8091
E-mail : [email protected]
This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication
without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent
permitted by law, PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.
© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of
which is a separate legal entity. |