ISO-27001
-
Upload
freddy-jesus -
Category
Documents
-
view
25 -
download
0
description
Transcript of ISO-27001
![Page 1: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/1.jpg)
ISO 27001
![Page 2: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/2.jpg)
RIESGOSExterior
Interior
Ponen en peligro la integridad de la información por ende la viabilidad del negocio.
![Page 3: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/3.jpg)
Sistema de gestión de seguridad de información es una herramienta de gestión que nos permite: conocer, gestionar y minimizar los riesgos y amenazas que ponen en peligro la competitividad, rentabilidad y conformidad legal. Necesarios para obtener los objetivos del negocio
![Page 4: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/4.jpg)
Diferencias entre seguridad informática y seguridad de la información
![Page 5: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/5.jpg)
Seguridad informática: Protección de las infraestructuras de las tecnologías de la información y comunicación que soporta el negocio.
Seguridad de la información:Protección de los activos de la información fundamentales para le éxito de cualquier organización.
![Page 6: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/6.jpg)
Activos de la información • Correos
electrónicos• Faxes• Paginas web• Imágenes• Bases de datos• Documentos • Contratos • Presentaciones
Están en diferentes fuentes y provienen de medios como papel o medios digitales. Se debe de tener en cuenta el tiempo de vida de la información.
![Page 7: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/7.jpg)
SGSIMétodo que permite: • ANALISISAnalizar y ordenar la estructura de los sistemas de la información.• DEFINICIONDefinición de los procedimientos de trabajo para mantener su seguridad.• CONTROLESControles que permitan medir la eficiencia de las medidas tomadas.
![Page 8: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/8.jpg)
Parámetros de la seguridad de la información
Confidencialidad, implica el acceso de la información mediante autorización.Integridad, mantenimiento de exactitud y completitud de la información.Disponibilidad, acceso de información a usuarios autorizados en el momento que lo requieran.
![Page 9: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/9.jpg)
Con el fin de tener un sistema estándar de gestión de seguridad de la información, se crean una familia de normas ISO 27000
Nos permiten disminuir el impacto de riesgos sin necesidad de grandes inversiones en software y sin contar con una gran estructura de personal.
![Page 10: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/10.jpg)
INFORMACIONEs una gran activo del que depende el buen funcionamiento de una organización.En la actualidad el desarrollo de la tecnología conlleva el incremento de riesgos con respecto a la seguridad de la información. Estos riesgos y amenazas puede provenir desde el interior o exterior de la empresa.
![Page 11: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/11.jpg)
Riesgos físicos
Afectan disponibilidad de recursos.
Riesgos lógicos (tecnológicos) Afectan la
confianza ante los clientes y nuestra imagen en el mercado.
![Page 12: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/12.jpg)
ISO 27001, herramienta o metodología sencilla que nos permite establecer:Políticas, procedimientos y controles para disminuir riesgos.
![Page 13: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/13.jpg)
La implantación y posterior certificación de estos sistemas supone la implicación de toda la empresa, empezando por la dirección sin cuyo compromiso no seria posible la puesta en marcha.La dirección debe liderar todo el proceso, ya que conoce los riesgos del negocio y las obligaciones con los clientes.
![Page 14: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/14.jpg)
BeneficiosLa seguridad se considera un sistema y se convierte en una actividad de gestión.
![Page 15: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/15.jpg)
ESTÁNDAR DE GESTIÓN DE SEGURIDAD
ISO/IEC 27001
Recoge componentes del sistema, documentos mínimos, registros que permitan evidenciar el buen funcionamiento del sistema, especifica requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada organización.
![Page 16: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/16.jpg)
El diseño del SGSI dependerá de
Para hacer mas sencilla la implantación necesitamos asesoría de una empresa especializada
El tiempo de implantación depende del tamaño de la empresa, estado inicial del SGSI y recursos destinados
![Page 17: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/17.jpg)
Para la implantación utilizaremos el modelo PDCA, un modelo dividido en 4 fases:
La continua evolución de nuestro SGSI debe estar documentada, para esto se utilizaran los 4 tipos de documentación.
![Page 18: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/18.jpg)
FASE DE PLANIFICACIONEstudio de las situaciones de la organización desde el punto de vista de la seguridad para estimar medidas a implantar en función de las necesidades. La información esta sometida a riesgos.
![Page 19: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/19.jpg)
FASE DE EJECUCION• Implantación de controles seleccionados en la fase anterior,
controles mas técnicos y documentos necesarios.• Requiere tiempo de concienciación y formación para dar a
conocer que se esta haciendo y por que, al personal de la empresa.
![Page 20: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/20.jpg)
FASE DE SEGUIMIENTOEvaluar eficiencia y éxito de controles implementados, por ellos es importante contar con registros o indicadores que provengan de estos controles.
![Page 21: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/21.jpg)
FASE DE MEJORA Labor de mantenimiento del sistema• Medidas correctoras• Medidas preventivas• Medidas de mejora
Se toman resultados de la ultima y se vuelve a empezar con el proceso.
![Page 22: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/22.jpg)
DISEÑO DE SGSI
![Page 23: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/23.jpg)
ALCANCEDeterminar partes y procesos decidiendo que es lo que se quiere proteger y de donde se debe empezar.Se determinara:
![Page 24: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/24.jpg)
Se estimara recursos y personal a cargo de implantar y mantener SGSI.
![Page 25: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/25.jpg)
POLITICARecoge directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la empresa. Pautas de actuación en caso de incidentes y definir las responsabilidades.El documente delimita que se debe proteger, de quien y por que, explica lo permitido y lo que no.
• Corta y precisa• Dominio publico• Resolución de conflictos• Responsabilidades asociadas con
autoridad.• Protección de personas e información.• Personalizada • Normas y reglas adoptadas
![Page 26: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/26.jpg)
La política se debe revisar y actualizar cada año.
![Page 27: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/27.jpg)
ORGANIZACIÓNSe realiza la revisión de los aspectos organizativos de la entidad y asignación de nuevas responsabilidades, hay 3 de gran importancia:
![Page 28: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/28.jpg)
Con el fin de crear una cultura de seguridad. Se consigue que el personal conozca que actuaciones se están llevando acabo y por que se están realizando.Con ello se concede transparencia la proceso, involucrar al personal y como producto da conocimiento al personal sobre las actividades.
![Page 29: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/29.jpg)
![Page 30: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/30.jpg)
![Page 31: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/31.jpg)
ISO 27001
El ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN
![Page 32: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/32.jpg)
Marco legal y Jurídico de la seguridad
Normativas de seguridad
![Page 33: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/33.jpg)
-Creciente uso de las nuevas tecnologías--Nuevas formar de delito informático-
-Su cumplimiento nos protegerá de amenazas externas-
![Page 34: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/34.jpg)
LEY ORGÁNICA 15/99 DE PROTECCIÓN DE DATOS (LOPD)
-Tiene por objetivo proteger todos los datos de carácter personal-
![Page 35: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/35.jpg)
LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO
(LSSI)
-Regular el funcionamiento de prestadores de servicio--Comercio electrónico-
![Page 36: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/36.jpg)
LEY 32/2003 GENERAL DE TELECOMUNICACIONES
-Fomenta la competencia efectiva--Comercio en telecomunicaciones y electrónica-
![Page 37: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/37.jpg)
LEY 59/2003 DE FIRMA ELECTRONICA
-Identifica a una persona en transacciones electrónicas--Manipulación-
![Page 38: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/38.jpg)
RDL 1/1996 LEY DE PROPIEDAD INTELECTUAL
-El autor tiene el derecho exclusivo a la utilización de su creación-
![Page 39: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/39.jpg)
LEY 17/2001 DE PROPIEDAD INDUSTRIAL
-Uso exclusivo de nombre comerciales-
![Page 40: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/40.jpg)
Análisis y valoración de riesgos
CONCEPTOS BÁSICOS
![Page 41: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/41.jpg)
CONCEPTOS BÁSICOS
-Indica lo que le podría pasar a los activos--Eventos que pueden ocasionar incidentes-
-Son las debilidades que presentan los activos-
![Page 42: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/42.jpg)
CONCEPTOS BÁSICOS
-Consecuencia de la amenaza--Mecanismos que reducen el riesgo-
-Imposible eliminar al 100%-
![Page 43: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/43.jpg)
![Page 44: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/44.jpg)
GESTIÓN Y TRATAMIENTO DEL RIESGO
-Eliminando los activos--Contratar un seguro-
-Controle el riesgo--Medidas de seguridad-
![Page 45: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/45.jpg)
• SOA: Declaración de aplicabilidad.
• El SOA recoge qué controles aplican en la organización y cuales no.
• SI: deben incluir los objetivos del control, la descripción y la razón de su selección
• NO: Se debe indicar la razón de su exclusión de manera detallada
![Page 46: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/46.jpg)
SEGUIMIENTO Y REGISTRO DE LAS OPERACIONES DEL SISTEMA
-Recoge el estado del sistema--Refleja el estado del sistema-
-Resumen del estado del sistema--Grado de cumplimiento-
![Page 47: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/47.jpg)
GESTIÓN DE CONTINUIDAD
![Page 48: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/48.jpg)
PROCESO DE CERTIFICACIÓN
![Page 49: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/49.jpg)
PROCESO DE CERTIFICACIÓN
![Page 50: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/50.jpg)
PROCESO DE CERTIFICACIÓN
SOLICITUD DE CERTIFICACIÓN: En este documento se especifica una serie de datos de la organización y la implantación del SGSI.AUDITORIA DOCUMENTAL: Se revisa la documentación generada durante la implantación del sistema.AUDITORIA IN-SITU: Verificar la documentación revisada y los registros del sistema. Durante esta fase los auditores confirman que la organización cumple con sus políticas y procedimientos.
![Page 51: ISO-27001](https://reader034.fdocuments.es/reader034/viewer/2022042717/563db8c9550346aa9a96eeac/html5/thumbnails/51.jpg)