La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.

Presentaciones similares


Presentación del tema: "ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos."— Transcripción de la presentación:

1 ISO SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO Base de datos

2 ISO Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos, CDs, etc…) Oral (teléfono, móvil, etc.) Video, fotos Qué es Información?

3 ISO La Información en las Empresas Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.

4 ISO La Información en las Empresas Estos activos pueden ser clasificados de la siguiente forma: Activos de Información ( datos, manuales de usuario, etc.) Documentos en Papel ( contratos ) Activos de software ( aplicación, software de sistema, etc. ) Activos físicos ( computadores, medios magnéticos, etc. ) Personal ( clientes, trabajadores ) Imagen y reputación de la organización Servicios ( comunicaciones, etc. )

5 ISO Confidencialidad Integridad Disponibilidad de la información La seguridad de información se caracteriza por la preservación de: Qué es seguridad de la Información?

6 ISO Identificación de Amenazas Tipos de Amenazas Amenazas Naturales Amenazas a Instalaciones Amenazas Tecnológicas Amenazas Sociales Amenazas Humanas Amenazas Operacionales

7 ISO Vulnerabilidades Tipos de Vulnerabilidades Gestión operaciones y comunicación Seguridad de los recursos humanos Mantenimiento, desarrollo de Sist. de información Seguridad física y ambiental Control de Acceso

8 ISO Seguridad de la Información SGSI

9 ISO ¿Seguridad de la Información ? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. La información puede estar: Impresa o escrita en papel. Almacenada electrónicamente. Trasmitida por correo o medios electrónicos Mostrada en filmes. Hablada en conversación. Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

10 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente. Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información

11 ISO Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

12 ISO Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información 1 Planificar Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

13 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.

14 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.

15 ISO Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 2 Hacer

16 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.

17 ISO Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 3 Revisar

18 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.

19 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.

20 ISO Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 4 Actuar

21 ISO Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.

22 ISO Seguridad de la Información SGSI

23 ISO Mantenimiento y mejora del SGSI (Act) Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. Medir el desempeño del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

24 ISO Estructura de la Documentación Requerida Nivel IV Nivel I Nivel III Nivel II Enfoque de la Gerencia Política, Alcance, Evaluación Riesgo Enfoque de la Gerencia Política, Alcance, Evaluación Riesgo Manual de Seguridad Descripción de procesos, Quién hace qué y cuándo Descripción de procesos, Quién hace qué y cuándo Procedimientos Describe tareas específicas y cómo se realizan Instrucciones de Trabajo Provee evidencia objetiva de la conformidad con SGSI Registros

25 ISO Factores Claves de Éxito en la Implementación de un SGSI Política de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participación visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. Compatibilidad con la cultura organizacional. Entrenamiento y educación.

26 ISO Conclusiones Hoy en día las organizaciones dependen en gran medida de su tecnología y sus activos de información. Por lo anterior, impera una protección adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado.

27 ISO Conclusiones Nada es estático, la seguridad no es la excepción. Mejora continua. Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.

28 ISO Preguntas y Respuestas


Descargar ppt "ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos."

Presentaciones similares


Anuncios Google