La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

MODELOS ISO27001 - SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009.

Presentaciones similares


Presentación del tema: "MODELOS ISO27001 - SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009."— Transcripción de la presentación:

1 MODELOS ISO SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009

2 TEMAS NORMAS NORMAS ISO 2700 ISO 2700 BS 7799 BS 7799 SEARS SEARS ANTECENDENTES ANTECENDENTES APLICACIONES APLICACIONES MODELOS MODELOS CONCLUSIONES CONCLUSIONES BIBLIOGRAFIA BIBLIOGRAFIA

3 INTRODUCCIÓN Por qué se necesita seguridad en la información? ¿Por qué se necesita seguridad en la información? ¿Cómo establecer los requerimientos de seguridad? ¿Cómo establecer los requerimientos de seguridad? Evaluando los riesgos de seguridad Evaluando los riesgos de seguridad Selección de controles Selección de controles Factores críticos de éxito Factores críticos de éxito

4 ISO27001

5 ISO27001 ISO es una organización internacional no gubernamental que produce normas internacionales industriales y comerciales. ISO es una organización internacional no gubernamental que produce normas internacionales industriales y comerciales. El propósito es facilitar el comercio, intercambio de información y contribuir con estándares comunes para el desarrollo y transferencia de tecnologías. El propósito es facilitar el comercio, intercambio de información y contribuir con estándares comunes para el desarrollo y transferencia de tecnologías.

6 ISO27001 Desde 1946 la normatividad ISO fue una de las primeras con pretensiones de estandarizar normas, reglamentos y formas de trabajo en las organizaciones a nivel internacional. Desde 1946 la normatividad ISO fue una de las primeras con pretensiones de estandarizar normas, reglamentos y formas de trabajo en las organizaciones a nivel internacional. En 1987 aparece, por primera vez, un estándar que en vez de certificar productos asegura procesos. En 1987 aparece, por primera vez, un estándar que en vez de certificar productos asegura procesos. ISO/IEC es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. ISO/IEC es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

7 ISO27001 ANTECEDENTES: La serie de estándares ISO es un conjunto de documentos globalmente aceptado para administrar la seguridad de la información La serie de estándares ISO es un conjunto de documentos globalmente aceptado para administrar la seguridad de la información La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo. La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo. Es consistente con las mejores prácticas descritas en ISO/IEC (actualmente ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS Es consistente con las mejores prácticas descritas en ISO/IEC (actualmente ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS

8 ISO27001 HISTORIA: Desde 1901 BSI es responsable de la publicación de importantes normas como la BS7799 (1995), con objeto de preparar las empresas en la certificación de la Gestión de la Seguridad de su Información por medio de una auditoría realizada por un auditor acreditado y externo. Desde 1901 BSI es responsable de la publicación de importantes normas como la BS7799 (1995), con objeto de preparar las empresas en la certificación de la Gestión de la Seguridad de su Información por medio de una auditoría realizada por un auditor acreditado y externo. La norma BS7799 se divide en dos partes: La norma BS7799 se divide en dos partes: BS BS BS BS

9 ISO27001 Tras la revisión de las dos partes de la norma BS7799 en 1999, la primera parte se adopta por la Organización Internacional para la Estandarización ISO, sin cambios sustanciales, como ISO17799 en el año Tras la revisión de las dos partes de la norma BS7799 en 1999, la primera parte se adopta por la Organización Internacional para la Estandarización ISO, sin cambios sustanciales, como ISO17799 en el año En 2005, y con más de 1700 empresas certificadas en BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001, junto a la primera revisión formal realizada en ese mismo año de ISO En 2005, y con más de 1700 empresas certificadas en BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001, junto a la primera revisión formal realizada en ese mismo año de ISO En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

10

11 ISO27001 MODELO: PLAN (Planificar) PLAN (Planificar) Identificar el proceso que se quiere mejorarIdentificar el proceso que se quiere mejorarIdentificar el proceso que se quiere mejorarIdentificar el proceso que se quiere mejorar Recopilar datos para profundizar en el conocimiento del procesoRecopilar datos para profundizar en el conocimiento del procesoRecopilar datos para profundizar en el conocimiento del procesoRecopilar datos para profundizar en el conocimiento del proceso Análisis e interpretación de los datosAnálisis e interpretación de los datosAnálisis e interpretación de los datosAnálisis e interpretación de los datos Establecer los objetivos de mejoraEstablecer los objetivos de mejoraEstablecer los objetivos de mejoraEstablecer los objetivos de mejora Detallar las especificaciones de los resultados esperadosDetallar las especificaciones de los resultados esperadosDetallar las especificaciones de los resultados esperadosDetallar las especificaciones de los resultados esperados Definir los procesos necesarios para conseguir estos objetivos, verificando las especificacionesDefinir los procesos necesarios para conseguir estos objetivos, verificando las especificacionesDefinir los procesos necesarios para conseguir estos objetivos, verificando las especificacionesDefinir los procesos necesarios para conseguir estos objetivos, verificando las especificaciones DO (Hacer) Ejecutar los procesos definidos en el paso anterior Documentar las acciones realizadas CHECK (Revisar) Pasado un periodo de tiempo previsto de antemano, volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada Documentar las conclusiones ACT (Actuar) Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario Aplicar nuevas mejoras, si se han detectado errores en el paso anterior Documentar el proceso

12 ISO27001 OBJETIVO: Brindar recomendaciones a los responsables de planear, implantar o mantener controles para garantizar la Seguridad de la Información. Provee una base común para el desarrollo de estándares de seguridad aplicables a una empresa en particular tomando como referencia un conjunto de prácticas que han probado su efectividad. Brindar recomendaciones a los responsables de planear, implantar o mantener controles para garantizar la Seguridad de la Información. Provee una base común para el desarrollo de estándares de seguridad aplicables a una empresa en particular tomando como referencia un conjunto de prácticas que han probado su efectividad.

13 ISO27001 BENEFICIOS: Establecimiento de una metodología de gestión de la seguridad clara y estructurada. Establecimiento de una metodología de gestión de la seguridad clara y estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los clientes tienen acceso a la información a través medidas de seguridad.

14 ISO27001 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L). Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L). Garantiza la confidencialidad, integridad y disponibilidad de la información con base en la mejora de los procesos de TI. Garantiza la confidencialidad, integridad y disponibilidad de la información con base en la mejora de los procesos de TI. Reducción de costes y mejora de los procesos y servicio. Reducción de costes y mejora de los procesos y servicio.

15 ISO27001IMPLEMENTACIÓN

16 5 - Documento sobre política de seguridad de la información el cual debe ser aprobado por la administración y publicado y comunicado a todos los empleados y las organizaciones externas relevantes. 6 – Coordinación de la seguridad de la información: Las actividades de seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones relevantes. 7 – Inventario de activos: Todos los activos deben ser plenamente identificados y se deben ubicar todos los activos importantes en un inventario el cual debe ser mantenido. 8 – Proceso disciplinario: Habrá proceso formal disciplinario para los empleados que generen brechas de seguridad. 9 – Controles físicos de entrada: Las áreas seguras deben ser protegidas con controles de ingreso apropiados para asegurar que solo el personal autorizado pueda ingresar. 10 – Respaldo de información: Las copias de respaldo de información y software serán realizadas y probadas regularmente de acuerdo con la política de respaldo aprobada. 11 – Autenticación de usuario para conexiones externas: Se deben usar métodos de autenticación apropiados para controlar el acceso de usuarios remotos. 12 – Control de acceso a código fuente de aplicaciones: El acceso a código fuente de aplicaciones debe estar restringido. 13 – Reporte de debilidades de seguridad: Todos los empleados, contratistas, y usuarios de outsourcing que utilicen los sistemas o servicios de información deben notificar y reportar cualquier debilidad observada o que se sospeche de dichos sistemas. 14 – Pruebas y mantenimiento de planes de continuidad de negocio: Los planes de continuidad de negocio deben ser probados y actualizados regularmente para asegurar que están listos para ser ejecutados cuando se necesiten. 15 – Verificación de cumplimiento técnico: Los sistemas de información se deben verificar regularmente para chequear su cumplimiento con los estándares de implementación de seguridad.

17 ISO27001 IMPACTO EN LA INDUSTRIA: La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger. La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger. La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial. La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial.

18 IMPACTO EN LA INDUSTRIA OrganizaciónPaís Número de Certificado Entidad Certificadora Estándar BS :2002 o ISO/IEC 27001:2005 ComBanc S.A.ColombiaIS BSI ISO/IEC 27001:2005 Etek International Holding Corp.ColombiaIS 84320BSI ISO/IEC 27001:2005 Ricoh Colombia, S.A.ColombiaIS 85241BSI ISO/IEC 27001:2005 UNISYS Global Outsourcing & Infrastructure Services (GOIS)/Maintenance Support Services (MSS) ColombiaIS 97104BSI ISO/IEC 27001:2005 FluidSignal GroupColombia-ICONTEC ISO/IEC 27001:2005

19 SEARS

20 SEARS ANTECEDENTES: La SuperIntendencia Bancaria de Colombia a través de la Circular Externa 007 de 1996 exige a las entidades aseguradoras el cumplimiento de un Margen de Solvencia y un Patrimonio Técnico para poder operar. La SuperIntendencia Bancaria de Colombia (hoy en día SuperFinanciera) a través de la circular externa 011 de 2002, define los parámetros generales que debe tener todo establecimiento de crédito para gestionar el riesgo crediticio. La Circular 31 de 2002 exige la definición de un Sistema de Administración de Riesgos (SAR). En la Circular Externa 052 de 2002 se le exige a las empresas de seguros la implementación de un Sistema Especial de Administración de Riesgos de Seguros (SEARS), por medio del cual pueda identificar, medir, evaluar y controlar los riesgos inherentes a su actividad.

21 SEARS Las entidades aseguradoras se encuentran expuestas, además de los riesgos generales a que se expone toda entidad financiera, a riesgos particulares de la actividad aseguradora como serían los riesgos de suscripción y de insuficiencia de reservas técnicas. Por lo tanto es vital que las entidades aseguradoras adopten, como parte integral de su Sistema general de Administración de Riesgos (SAR), sistemas especiales de identificación, medición, evaluación y control de aquellos riesgos particulares a su actividad que operen coordinadamente con los presupuestos generales de administración de riesgos. Las entidades aseguradoras se encuentran expuestas, además de los riesgos generales a que se expone toda entidad financiera, a riesgos particulares de la actividad aseguradora como serían los riesgos de suscripción y de insuficiencia de reservas técnicas. Por lo tanto es vital que las entidades aseguradoras adopten, como parte integral de su Sistema general de Administración de Riesgos (SAR), sistemas especiales de identificación, medición, evaluación y control de aquellos riesgos particulares a su actividad que operen coordinadamente con los presupuestos generales de administración de riesgos.

22 SEARS El SEARS está concebido como las políticas, metodologías y procesos de control que la respectiva entidad adopta con el propósito de identificar, administrar y gestionar los riesgos propios de su actividad. El SEARS está concebido como las políticas, metodologías y procesos de control que la respectiva entidad adopta con el propósito de identificar, administrar y gestionar los riesgos propios de su actividad. Toda entidad aseguradora debe diseñar y adoptar su propio Sistema Especial de Administración de Riesgos de Seguros (SEARS) que le permita realizar una adecuada gestión de los riesgos propios de su actividad. Toda entidad aseguradora debe diseñar y adoptar su propio Sistema Especial de Administración de Riesgos de Seguros (SEARS) que le permita realizar una adecuada gestión de los riesgos propios de su actividad.

23 SEARS El SEARS debe contar con los siguientes elementos que en función de las características, tamaño y complejidad de las operaciones realizadas por cada entidad, pueden adoptarse independientemente o formar parte del sistema general: El SEARS debe contar con los siguientes elementos que en función de las características, tamaño y complejidad de las operaciones realizadas por cada entidad, pueden adoptarse independientemente o formar parte del sistema general: Políticas sobre asunción de riesgos Políticas sobre asunción de riesgos Procesos de Control de Riesgos Procesos de Control de Riesgos

24 SEARS Infraestructura adecuada para la gestión de los riesgos de seguros Infraestructura adecuada para la gestión de los riesgos de seguros Metodologías especiales para la medición de los riesgos de seguros Metodologías especiales para la medición de los riesgos de seguros Mecanismos de control de los procesos. Mecanismos de control de los procesos.

25 SEARS Este modelo no se aplica solamente a entidades aseguradoras. Las empresas de diferentes sectores que han optado por adoptar este modelo de control de riesgo. Se aplica en todo tipo de empresa. Desde la pyme hasta la gran empresa. Este modelo no se aplica solamente a entidades aseguradoras. Las empresas de diferentes sectores que han optado por adoptar este modelo de control de riesgo. Se aplica en todo tipo de empresa. Desde la pyme hasta la gran empresa.

26 SEARS CARACTERISTICAS DEL SEARS: Cuantificación del riesgo Cuantificación del riesgo Cubrimiento del riesgo Cubrimiento del riesgo Control de riesgos Control de riesgos

27 Diseño y adopción de la estructura general del SEARS Políticas de administración de riesgos Estructura de mecanismos de identificación de riesgo Infraestructura técnica y humana para la gestión de riesgos Procesos de control de riesgos Mecanismos para evaluar los procesos Instrumentos para capacitar a los encargados de la gestión de riesgo 1ª Fase 2ª Fase Diseño, adopción y aplicación de la metodología de cuantificación de riesgos Metodología, base teórica y parámetros empleados Pruebas de desempeño para verificar la calidad de resultados Valores en riesgo estimados y observados Información detallada de los encargados del control de riesgos

28 RIESGO CréditoMercadoLiquidezSuscripciónTarifación Descuento sobre primas Concentración Diferencias en condiciones Legal Insuficiencia de reservas técnicas OperacionalReputacionalEstratégico

29 SEARS REGLAS ESPECIALES DE LA ESTRUCTURA Y OPERACIÓN DEL SEARS: Infraestructura Infraestructura Características de las metodologías de cuantificación de los riesgos de seguros Características de las metodologías de cuantificación de los riesgos de seguros Procesos de control y de monitoreo de riesgos Procesos de control y de monitoreo de riesgos Periodicidad de la evaluación y reporte a la SBC Periodicidad de la evaluación y reporte a la SBC Facultad de objeción del SEARS por parte de la SBC Facultad de objeción del SEARS por parte de la SBC

30 CONCLUSIONES Ni la adopción ni la certificación de cualquiera de la normas en especial la ISO 27001:2005 garantizan la inmunidad de la organización frente a problemas de seguridad. Ni la adopción ni la certificación de cualquiera de la normas en especial la ISO 27001:2005 garantizan la inmunidad de la organización frente a problemas de seguridad. Constantemente se deben de realizar análisis periódico de los riesgos. Constantemente se deben de realizar análisis periódico de los riesgos. La responsabilidad en el manejo de la información no solo depende del departamento encargado de TI. La responsabilidad en el manejo de la información no solo depende del departamento encargado de TI. La certificación implica realizar un cambio cultural al interior de la empresa respecto al cuidado del activo más importante de una organización: LA INFORMACIÓN La certificación implica realizar un cambio cultural al interior de la empresa respecto al cuidado del activo más importante de una organización: LA INFORMACIÓN

31 BIBLIOGRAFIA Información detallada de la norma ISO/IEC (18 Enero. 2009) Información detallada de la norma ISO/IEC (18 Enero. 2009) El portal de ISO en Español. (18 Enero. 2009) El portal de ISO en Español. (18 Enero. 2009) Enjuto, Joseba. Diferencia entre ISO e ISO iso e-iso html (18 Enero. 2009) Enjuto, Joseba. Diferencia entre ISO e ISO iso e-iso html (18 Enero. 2009) iso e-iso html (18 iso e-iso html (18 ICONTEC Internacional, Certificación ISO _iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP (20 Enero. 2009) ICONTEC Internacional, Certificación ISO _iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP (20 Enero. 2009) _iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP _iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP

32 BIBLIOGRAFIA INTECO S.A, Normativa – ISO https://sgsi.inteco.es/index.php/es/conceptos-de-un- sgsi/normativa?start=2 (19 Enero. 2009) INTECO S.A, Normativa – ISO https://sgsi.inteco.es/index.php/es/conceptos-de-un- sgsi/normativa?start=2 (19 Enero. 2009) https://sgsi.inteco.es/index.php/es/conceptos-de-un- sgsi/normativa?start=2 https://sgsi.inteco.es/index.php/es/conceptos-de-un- sgsi/normativa?start=2 La Flecha, tu diario de ciencia y tecnología. ologia-de-implantacion-y-certificacion-de-iso27001/ (18 Enero. 2009) La Flecha, tu diario de ciencia y tecnología. ologia-de-implantacion-y-certificacion-de-iso27001/ (18 Enero. 2009) ologia-de-implantacion-y-certificacion-de-iso27001/ ologia-de-implantacion-y-certificacion-de-iso27001/ Superintendencia Bancaria, Doctrinas y conceptos financieros. 3/adminriesgos004.htm (20 Enero de 2009) Superintendencia Bancaria, Doctrinas y conceptos financieros. 3/adminriesgos004.htm (20 Enero de 2009) 3/adminriesgos004.htm (20 3/adminriesgos004.htm (20

33 PREGUNTAS…

34 GRACIAS…


Descargar ppt "MODELOS ISO27001 - SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009."

Presentaciones similares


Anuncios Google