Académique Documents
Professionnel Documents
Culture Documents
• Seguridad de la Información
• Origen de la norma
• Familia de normas ISO 27000
• La norma ISO / IEC 27001:2005:
– Fundamentos,
– Ciclo PDCA,
– Gestión de Riesgos y
– Requisitos
3
Términos y definiciones
• Información: La información constituye un
importante activo, esencial para las necesidades
empresariales de una organización. La
información puede existir de muchas maneras.
Puede estar impresa o escrita en papel, puede
estar almacenada electrónicamente, ser
transmitida por correo o por medios
electrónicos, se la puede mostrar en videos, o
exponer oralmente en conversaciones.
ISO / IEC 27002:2005
Términos y definiciones
• Confidencialidad: Propiedad por la cual la información
no esté disponible ni sea divulgada a individuos,
organismos o procesos no autorizados.
ISO 27001:2005, cláusula 3.3
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27001:2005, cláusula 3.8
• Disponibilidad: Propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27001:2005, cláusula 3.2
Términos y definiciones
• Seguridad de la información: Preservación de
la confidencialidad, integridad y disponibilidad
de la información; además de otras
propiedades, que también pueden estar
involucradas como la autenticación, registro de
responsabilidad (accountability), el no repudio y
la confiabilidad.
ISO 27001:2005, cláusula 3.4
Origen de la familia 27000
• British Standards Institution (BSI)
– 1979: Publica BS 5750 – ahora ISO 9001
– 1992: Publica BS 7750 – ahora ISO 14001
– 1995: Publica BS 7799 – luego 7799-1, ahora ISO/IEC 27002
– 1999: Publica BS 7799-2 – ahora ISO/IEC 27001
– 2006: Publica BS 7799-3
• ISO (International Organization for Standardization)
– 2000: Revisa BS 7799-1 y 2. Sin cambios sustanciales de la
parte 1 la adopta como ISO/IEC 17799:2000.
– 2005: adopta BS 7799-2:2002 como ISO/IEC 27001:2005 y la
ISO/IEC 17799:2000 –con modificaciones- como ISO
17799:2005.
– 2007: adopta ISO 17799:2005 -sin cambios- como ISO
27002:2005
– 2008: publica ISO 27005:2008 basándose en BS 7799-3
Sistemas de Gestión Integrados
MISIÓN
OBJETIVOS DEL
NEGOCIO
ISO 14001
OHSAS 18001 RIESGOS DEL ISO 27001
ISO 26000 NEGOCIO
RIESGOS
APLICABLES
CONTROLES
INTERNOS
REVISIÓN
ISO 9001
Términos y definiciones
• Norma auditable: una especificación
contra la que se puede realizar una
auditoría independiente. Por ejemplo: ISO
9001:2000 e ISO 27001:2005
• Guías: las guías o mejores prácticas
están disponibles para elegir el logro de
cierto objetivo. Por ejemplo: ISO
9004:2000 e ISO 27002:2005
La Familia de Normas ISO 27000
Principios y Vocabulario ISO 27000 (en
desarrollo)
Requisitos para
ISO 27001:2005
Certificación
Proceso de acreditación de
entidades de certificación y ISO 27006:2007
registro SGSI
Aceptación
Evaluación Tratamiento
Análisis de y comunicación
de de
Riesgos de Riesgos
Riesgos Riesgos
Residuales
Términos y definiciones
• Activo (asset): algo que tiene valor para la organización
• Amenaza (threat): la potencial causa de un incidente no deseado,
que puede resultar en daño a un sistema u organización (factor
externo).
• Vulnerabilidad: una debilidad en un activo, grupo de activos o
controles de seguridad que lo protegen, que puede ser aprovechada
por una o más amenazas para concretarse (factor interno).
• Riesgo (risk): la combinación de la probabilidad de ocurrencia y el
impacto o consecuencia de que una amenaza se concrete.
• Control o Contramedida: una técnica para manejar el riesgo,
reduciendo la probabilidad de ocurrencia o el impacto de una
amenaza.
• Riesgo Residual: el riesgo remanente luego de aplicar un control.
Términos y definiciones
Controles y
Contramedidas de
Seguridad
Activos Amenazas
Vulnerabilidades
Activos
Tipos de Activos (¡no exhaustivo!)
• Información
– Bases de datos y archivos de datos
– Contratos y acuerdos
– Documentación impresa o en línea
– Información de investigación
– Manuales y material de entrenamiento
– Procedimientos
– Pistas de Auditoría
• Software
– Software de aplicación
– Software de base
– Herramientas y utilitarios de desarrollo
Activos
Tipos de Activos (cont.)
• Activos Físicos
– Equipos de computación
– Equipos de comunicaciones
– Medios de almacenamiento
– Centros de cableados
• Servicios
– Servicios de computación y comunicaciones
– Servicios de soporte (electricidad, aire
acondicionado, iluminación, calefacción)
Activos
Tipos de Activos (cont.):
• Personas, junto con
– su experiencia,
– calificaciones,
– capacidades y
– competencias
• Activos Intangibles
– Reputación
– Marcas
– Imagen de la organización
Gestión de Riesgos (risk management)
Identificar y
Planificar
Definir: analizar Identificar:
Alcance, Activos,
Política y Vulnerabilidades
Metodología Amenazas y
Controles Análisis y
Analizar: valoración de
Riesgos riesgos (Risk
Costo / Beneficio
Dirección Assessment)
Decidir tratamiento de riesgos
Aceptar riesgo residual
Tratamiento
Mitigar Transferir Aceptar Evitar
riesgo riesgo riesgo riesgo de riesgos