Nombre: Flores Coayla Fernando Leandro

Grupo de Normas ISO/IEC 27000

Disponibles en espaol
UNIT/ ISO/IEC 27001
UNIT/ ISO/IEC 27002 (Ex-ISO/IEC 17799)
En proceso
ISO/IEC 27000 Fundamentos y vocabulario.
ISO/IEC 27003 Directrices para la implementacin de un
SGSI.
ISO/IEC 27004 Mtricas para la GSI.
ISO/IEC 27005 Gestin de riesgos de la SI.
ISO/IEC 27006 Requisitos para la acreditacin de las
organizaciones que proporcionan la certificacin de los SGSI
Implantacin de la ISO/IEC 27001
El.. (SGSI) es la parte del sistema de gestin
de la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,
implementar, operar, monitorear, mantener y
mejorar la seguridad de la informacin.
Seguridad de la Informacin?
La seguridad de la informacin consiste en procesos y controles
diseados para proteger informacin de su divulgacin no autorizada,
transferencia, modificacin o destruccin, a los efectos de:
asegurar la continuidad del negocio;
minimizar posibles daos al negocio;
maximizar oportunidades de negocios.
La informacin es un activo que como otros activos importantes tiene
valor y requiere en consecuencia una proteccin adecuada.
La informacin puede estar:
Impresa o escrita en papel.
Almacenada electrnicamente.
Trasmitida por correo o medios electrnicos
Mostrada en filmes.
Hablada en conversacin.
La seguridad de la informacin se caracteriza aqu como
la preservacin de:
su confidencialidad, asegurando que slo quienes
estn autorizados pueden acceder a la informacin;
su integridad, asegurando que la informacin y sus
mtodos de proceso son exactos y completos.
su disponibilidad, asegurando que los usuarios
autorizados tienen acceso a la informacin y a sus activos
asociados cuando lo requieran.
(Planificar /Hacer /Verificar
/Actuar)
Establecer el SGSI (Plan)
Establecer la poltica de seguridad, objetivos, metas, procesos
y procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la informacin para generar resultados de
acuerdo con una poltica y objetivos marco de la organizacin.
Definir el alcance del SGSI a la luz de la organizacin.
Seamos consistente con los objetivos.
Definir la Poltica de Seguridad.
Definir y Aplicar un enfoque sistmico para evaluar el riesgo.
No se establece una metodologa a seguir.
Intentemos su integracin con otros metodologas ya utilizadas
internamente.
Anlisis de Riesgos (Plan)
Matriz de Riesgos
Establecer el SGSI (Plan)
Identificar y evaluar opciones para tratar los riesgos Identificados
Mitigar, Eliminar, Transferir, Aceptar
Dentro del Alcance definido.
Seleccionar objetivos de control y controles a implementar
(Mitigar),
En virtud del resultado del anlisis de riesgos,
considerando a su vez los requisitos legales y regulatorios.
A partir de los 133 controles definidos por la ISO/IEC 27002
Establecer enunciado de aplicabilidad
Seleccin o no de cada uno de los controles y explicacin.
Objetivos de Control y Controles
Implementar y operar (Do)
Implementar y operar la poltica de seguridad, controles,
procesos y procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, Eliminar, Aceptar, Mitigar..
Clave para el xito de la implantacin.
Implementar programas de Capacitacin y concientizacin
continua.
Clave para el xito de la implantacin.
Implementar procedimientos y controles de deteccin y respuesta a
incidentes.
Clave para el xito del seguimiento y la mejora.
Implementar indicadores para medir la eficacia de los controles.
Clave para el xito del seguimiento y la mejora.
Monitoreo y Revisin (Check)
Evaluar y medir la performance de los procesos
contra la poltica de seguridad, los objetivos y
experiencia practica y reportar los resultados a la
direccin para su revisin.
Revisar el nivel de riesgo residual aceptable,
considerando los
cambios en el entorno.
Auditorias internas.
Siempre clave
Revisiones por parte de la Direccin
Indicadores
El contar con un conjunto adecuado de indicadores,
asociados a los objetivos y controles de seguridad
definidos e Implementados es crtico para el adecuado
seguimiento y mejora continua del SGSI.
Mantenimiento y mejora (Act)
Tomar acciones correctivas y preventivas, basadas en
los resultados de la revisin de la direccin, para lograr
la mejora continua del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las acciones apropiadas (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
Factores crticos de xito
El apoyo visible y el compromiso evidente de la alta
direccin
Factores crticos de xito
El apoyo visible y el compromiso evidente de la alta
direccin
Asignacin de recursos econmicos y en especial
humanos.
Concientizacin de los mandos medios.
Un alcance, poltica y objetivos que reflejen los
objetivos del negocio.
Ser consiente del esfuerzo permanente que se requiere.
Factores crticos de xito
La adecuada capacitacin y permanente concientizacin del
personal.
Un sistema de gestin de incidentes que permita centralizar
el registro y seguimiento de los eventos e incidentes de
seguridad.
Un sistema integrado de indicadores que permita evaluar la
eficacia de los controles y procesos implementados.
Herramientas de gestin de permita centralizar el registro y
seguimiento de diferentes procesos y controles.