ISO 27001

RIESGOS

Exterior
Interior

Ponen en peligro la integridad de la

informacin por ende la viabilidad del
negocio.

Sistema de gestin de seguridad de informacin

es una herramienta de gestin que nos permite:
conocer, gestionar y minimizar los riesgos y
amenazas que ponen en peligro la competitividad,
rentabilidad y conformidad legal. Necesarios para
obtener los objetivos del negocio

Diferencias entre seguridad informtica

y seguridad de la informacin

Seguridad informtica:
Proteccin de las infraestructuras de
las tecnologas de la informacin y
comunicacin que soporta el negocio.
Seguridad de la informacin:
Proteccin de los activos de la
informacin fundamentales para le
xito de cualquier organizacin.

Activos de la informacin

Correos
electrnicos
Faxes
Paginas web
Imgenes
Bases de
datos
Documentos
Contratos
Presentacione
Estn en diferentes fuentes
y provienen de
s digitales. Se debe
medios como papel o medios
de tener en cuenta el tiempo de vida de la
informacin.

SGSI
Mtodo que permite:
ANALISIS
Analizar y ordenar la
estructura de los sistemas
de la informacin.
DEFINICION
Definicin
de
los
procedimientos de trabajo
para
mantener
su
seguridad.
CONTROLES
Controles que permitan
medir la eficiencia de las
medidas tomadas.

Parmetros de la seguridad de la
informacin
Confidencialidad, implica
el
acceso
de
la
informacin
mediante
autorizacin.
Integridad,
mantenimiento
de
exactitud y completitud
de la informacin.
Disponibilidad,
acceso
de
informacin
a
usuarios autorizados en

Con el fin de tener un sistema

estndar de gestin de seguridad de
la informacin, se crean una familia
de normas ISO 27000

Nos permiten disminuir el impacto de

riesgos sin necesidad de grandes
inversiones en software y sin contar con
una gran estructura de personal.

INFORMACION
Es una gran activo del que depende el
buen funcionamiento de una organizacin.
En la actualidad el desarrollo de la
tecnologa conlleva el incremento de
riesgos con respecto a la seguridad de la
informacin. Estos riesgos y amenazas
puede provenir desde el interior o exterior
de la empresa.

Riesgos fsicos

Riesgos lgicos
(tecnolgicos)

Afectan
disponib
ilidad de
recursos
.
Afectan la
confianza
ante
los
clientes
y
nuestra
imagen en
el mercado.

ISO
27001,
herramienta o
metodologa
sencilla que nos
permite
establecer:
Polticas,
procedimientos
y controles para
disminuir

La implantacin y posterior
certificacin
de
estos
sistemas
supone
la
implicacin
de
toda
la
empresa, empezando por la
direccin
sin
cuyo
compromiso no seria posible
la puesta en marcha.
La direccin debe liderar todo
el proceso, ya que conoce los
riesgos del negocio y las
obligaciones con los clientes.

Beneficios
La
seguridad
se considera
un sistema
y
se
convierte en
una
actividad de
gestin.

ESTNDAR DE GESTIN DE
SEGURIDAD
ISO/IEC 27001

Recoge
componentes
del
sistema,
documentos mnimos, registros que permitan
evidenciar el buen funcionamiento del
sistema, especifica requisitos para implantar
controles y medidas de seguridad adaptados

El diseo
del
SGSI
depender
de

El
tiempo
de
implantacin
depende
del
tamao
de
la
empresa,
estado
inicial del SGSI y
recursos
destinados

Para hacer mas

sencilla
la
implantacin
necesitamos
asesora de una
empresa
especializada

Para
la
implantacin
utilizaremos
el
modelo PDCA, un
modelo dividido
en 4 fases:
La
continua
evolucin
de
nuestro SGSI debe
estar
documentada, para
esto se utilizaran

FASE DE PLANIFICACION
Estudio de las situaciones de la organizacin desde el
punto de vista de la seguridad para estimar medidas a
implantar en funcin de las necesidades. La
informacin esta sometida a riesgos.

FASE DE EJECUCION
Implantacin de controles seleccionados en la fase anterior,
controles mas tcnicos y documentos necesarios.
Requiere tiempo de concienciacin y formacin para dar a
conocer que se esta haciendo y por que, al personal de la
empresa.

FASE DE SEGUIMIENTO
Evaluar
eficiencia
y
xito
de
controles
implementados, por ellos es importante contar
con registros o indicadores que provengan de
estos controles.

FASE DE MEJORA
Labor de mantenimiento del sistema
Medidas correctoras
Medidas preventivas
Medidas de mejora
Se
toman
resultados
de la ultima
y se vuelve
a
empezar
con
el
proceso.

DISEO DE SGSI

ALCANCE
Determinar partes y procesos decidiendo
que es lo que se quiere proteger y de
donde se debe empezar.
Se determinara:

Se
estimara
recursos
y
personal a cargo
de implantar y
mantener SGSI.

POLITICA
Recoge directrices que debe seguir la
seguridad de la informacin de acuerdo a las
necesidades de la empresa. Pautas de
actuacin en caso de incidentes y definir las
responsabilidades.
El documente delimita que se debe proteger,
de quien y por que, explica lo permitido y lo
Corta y precisa
que no.

Dominio publico
Resolucin de conflictos
Responsabilidades asociadas
con autoridad.
Proteccin de personas e
informacin.
Personalizada
Normas y reglas adoptadas

La poltica se debe
actualizar cada ao.

revisar

ORGANIZACIN
Se realiza la revisin de los aspectos
organizativos de la entidad y
asignacin
de
nuevas
responsabilidades, hay 3 de gran
importancia:

Con el fin de crear

una
cultura
de
seguridad.
Se
consigue
que
el
personal
conozca
que actuaciones se
estn llevando acabo
y por que se estn
realizando.
Con ello se concede
transparencia
la
proceso, involucrar al
personal
y
como
producto
da
conocimiento
al
personal sobre las

ISO 27001
El ESTNDAR DE
SEGURIDAD DE LA
INFORMACIN

Marco legal y Jurdico de la

seguridad
Normativas de seguridad

-Creciente uso de las nuevas tecnologas-Nuevas formar de delito informtico-Su cumplimiento nos proteger de amenazas externas-

LEY ORGNICA 15/99 DE

PROTECCIN DE DATOS (LOPD)

-Tiene por objetivo proteger todos los datos de

carcter personal-

LEY 34/2002 DE SERVICIOS DE LA

SOCIEDAD DE LA INFORMACIN Y
DE COMERCIO ELECTRNICO (LSSI)

-Regular el funcionamiento de prestadores de

servicio-Comercio electrnico-

LEY 32/2003 GENERAL DE

TELECOMUNICACIONES

-Fomenta la competencia efectiva-Comercio en telecomunicaciones y

electrnica-

LEY 59/2003 DE FIRMA

ELECTRONICA

-Identifica a una persona en transacciones

electrnicas-Manipulacin-

RDL 1/1996 LEY DE PROPIEDAD

INTELECTUAL

-El autor tiene el derecho exclusivo a la utilizacin de su creacin-

LEY 17/2001 DE PROPIEDAD

INDUSTRIAL

-Uso exclusivo de nombre comerciales-

Anlisis y valoracin de
riesgos

CONCEPTOS BSICOS

CONCEPTOS BSICOS

-Indica lo que le podra pasar a los activos-Eventos que pueden ocasionar incidentes-Son las debilidades que presentan los activos-

CONCEPTOS BSICOS

-Consecuencia de la amenaza-Mecanismos que reducen el riesgo-Imposible eliminar al 100%-

GESTIN Y TRATAMIENTO
DEL RIESGO

-Eliminando los activos-Contratar un seguro-Controle el riesgo-Medidas de seguridad-

 SOA: Declaracin de
aplicabilidad.
El SOA recoge qu
controles aplican en la
organizacin y cuales
no.
SI: deben incluir los
objetivos del control,
la descripcin y la
razn de su seleccin
NO: Se debe indicar la
razn de su exclusin
de manera detallada

SEGUIMIENTO Y REGISTRO
DE LAS OPERACIONES DEL
SISTEMA

-Recoge el estado del sistema-Refleja el estado del sistema-Resumen del estado del sistema-Grado de cumplimiento-

GESTIN DE CONTINUIDAD

PROCESO DE
CERTIFICACIN

PROCESO DE CERTIFICACIN

PROCESO DE
CERTIFICACIN
SOLICITUD DE CERTIFICACIN: En este
documento se especifica una serie de datos de la
organizacin y la implantacin del SGSI.
AUDITORIA DOCUMENTAL: Se revisa la
documentacin generada durante la
implantacin del sistema.
AUDITORIA IN-SITU: Verificar la
documentacin revisada y los registros del
sistema. Durante esta fase los auditores
confirman que la organizacin cumple con sus
polticas y procedimientos.