Académique Documents
Professionnel Documents
Culture Documents
Seguridad de la Información.
• Introducción
– Conceptos Fundamentales
– Las normas ISO
– Regulaciones Internacionales.
• Resumen de la norma UNIT-ISO/IEC 27001
– PDCA
• Factores Clave de Éxito
• Beneficios de la Implantación
• Preguntas.
Conceptos Fundamentales
¿Quien es quien?
• Publicadas
– ISO/IEC 27000: 2009 Fundamentos y vocabulario
– ISO/IEC 27001: 2005 Requisitos de SGSI
– ISO/IEC 27002: 2005 Código de Prácticas para GSI
– ISO/IEC 27005: 2008 Gestión de riesgos de la SI.
– ISO/IEC 27006: 2007 Requisitos para la acreditación de las organizaciones
que proporcionan la certificación de los SGSI
– ISO/IEC 27011: 2008 – Guías para SGSI en el sector de
Telecomunicaciones
– ISO/IEC 27799: 2008 - Guías para SGSI en el sector de la Salud.
• En proceso
– ISO/IEC 27003 Directrices para la implementación de un SGSI.
– ISO/IEC 27004 Métricas para la GSI.
– ISO/IEC 27007: Guías para la auditoria de SGSI
• Sectores Específicos:
– Controles de Seguridad - WLA-SCS: 2006 (Loterías)
– Banco Central del Uruguay
– Banco Central del Paraguay
– Banco Central de la Republica Argentina
– Superintendencia de Instituciones Financieras del Perú
– …
• Otras relaciones:
– PCI-DSS
– ISO 20000
– CobiT
Modelo P-H-V-A
– establecer,
– implementar,
– operar,
– monitorear,
– mantener y mejorar la seguridad de la información.
• Incluye.
– Estructura, políticas, actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
Planificar Actuar
Establecer Mantener y
el SGSI Mejorar el SGSI
Partes Partes
Interesadas Interesadas
Implementar y Monitorear
Requisitos y operar el SGSI el SGSI Seguridad
expectativas
Hacer Verificar Gestionada
Explota
Amenazas Vulnerabilidades
Reduce
Controles Riesgos Activos
Miden
Eficacia
Cumplidos Indica Tienen
por Aumentan
Métricas
Requerimientos Valor
Impacto al negocio.
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 18
Matriz de Riesgos
• 11 Áreas de Control
5 Política de Seguridad 1 2
6 Aspectos organizativos para la seguridad 2 11
7 Gestión de los activos 2 5
8 Seguridad de los Recursos Humanos 3 9
9 Seguridad física y del entorno 2 13
10 Gestión de comunicaciones y operaciones 10 32
11 Control de accesos 7 25
12 Adquisición, Desarrollo y mantenimiento de sistemas 6 16
– Auditorias internas.
Identificar
Identificar Activos Valorar Activos de Requisitos Legales Determinar los
de Información Información Regulatorios y riesgos
Contractuales
Gestión de
Definir planes de Elaborar e
Incidentes y
Sigue implementación de implementar los
Eficacia de los
los controles controles
controles
Finalizar las
Más Capacitación y exigencias de Revisión por la
Auditoria Interna
Concientización documentación del Dirección.
SGSI
GESTION DE
INDICADORES
EVENTOS
de EFICACIA
CONCIENTIZACION y
GESTION DE
ESTIMULO
RIESGOS
COMPROMISO OBJETIVOS
• Consultas
– reynaldo@datasec-soft.com
– http://www.datasec-soft.com