Upload
alexander-calderon
View
6.519
Download
2
Embed Size (px)
DESCRIPTION
Introduccion a la Norma ISO 27001 2005, descripcion general de la norma Sistemas de Gestion de Seguridad de la Informacion.
Citation preview
Maestría en Consultoría Empresarial
UES
Introducción ISO 27001Introducción a los Sistemas de Gestión de Seguridad de la Información.
Ernesto Alexander Calderó[email protected]
UESMAECE
Contenido
Concepto SGSI1
ISO 27000
Controles
Otras Opciones
2
3
4
UESMAECE
Aclaración
La actual presentación esta orientada en un enfoque NO TECNICO. Dirigida a gerentes y tomadores de decisiones y no a personal especialista en tecnologías.
UESMAECE
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION
UESMAECE
Elementos vitales
Recurso Humano Es el elemento mas importante dentro de una organización
EmpresaU Organización
Información Es el segundo elemento mas importante, se considera el principal activo de la organización
UESMAECE
INFORMACION
En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.
• Fuente: es.Wikipedia.org
UESMAECE
INFORMATICA
La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando sistemas computacionales, generalmente implementados como dispositivos electrónicos.
Procesamiento automático de la información.
• Fuente es.Wikipedia.org
UES
INFORMACION EMPRESARIAL
UESMAECE
Riesgos de la información
Peligro
Puertos AbiertosPassword Cracking
Virus
Inexistencia de Backup
Denegacion de Servicios
KeyLoggin
UESMAECE
SGSI
Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un procesos sistemático, documentado y conocido por la organización.
UESMAECE
ISO 27000
Conjunto de estándares desarrollados, o en fase de desarrollo.
Proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, publica o privada, grande o pequeña.
UESMAECE
ISO 27001
Estructura de reconocimiento internacional para la seguridad de la información
Proceso de Gestión para evaluar, implementar y mantener un SGSI
Comprensivo conjunto de controles de las mejores practicas de seguridad
Énfasis en la prevención La seguridad de la información es un proceso
de Gestión NO UN PROCESO TECNICO
UESMAECE
Beneficios ISO 27001
Protección de la información
Confidencialidad, socios, clientes proveedores
Adopción de un estándar mundial
Refuerzo de los procedimientos
Mejora de la conciencia de seguridad
Medición de los sucesos del control de la seguridad
UESMAECE
Estructura ISO 27001-2005
1. Alcance
2. Referencia Normativa
3. Términos y definiciones
4. Sistema de gestión de seguridad informática
5. Responsabilidad de la Gerencia
6. Auditorias internas SGSI
7. Revisión Gerencial SGSI
8. Mejoramiento del SGSI
UESMAECE
Modelo utilizado
Apartado 0.2 ISO 2001-2005
UESMAECE
ISO 27001-2005
Apartado 1.2 no es posible realizar una exclusión de ninguno de los requerimientos 4,5,6 y 8 cuando se declara conformidad con el estándar internacional.
Apartado 4.2.1 C, debe definir una metodologia para la evaluacion de riesgos
UESMAECE
Apartado 4.3.1 Documentacion del SGSI
Enunciados documentados de la politica SGSI Alcance SGSI Procedimientos y controles de soporte SGSI Descripcion de la metodologia de evaluacion de
riesgo. Reporte evaluacion de riesgo Plan de tratamiento de riesgo Procedimientos documentados necesarios Registros Requeridos
UESMAECE
Algunos controles
Perimetro de seguridad fisica
Control contra Software Malicioso
Seguridad en el Cableado
Eliminacion seguro de equipos
Respaldo de la informacion
Controles para la Red
Mensajes Electronicos
Comercio Electronico
UESMAECE
Series ISO 27000
27001 27003 27004 27005
Requerimien- tos SGSI
Guia paraImplemen-tacion
Medicion Adminis-tracion deriesgo
UES
Otras opciones utilizadas
Enterprise Security Assessment
UESMaestria en Consultoria Empresarial
Ernesto Calderon Peraza
Twitter.com/calderonperaza