La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Introducción a ISO Presentación Inicial de Consultoría.

Publicada porVincenç Rojas Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Introducción a ISO Presentación Inicial de Consultoría."— Transcripción de la presentación:

1 Introducción a ISO 27001 Presentación Inicial de Consultoría.
Sistema de Seguridad de la Información, Imprescindible en las Organizaciones Actuales . Presentación Inicial de Consultoría. Introducción a ISO 27001

2 Nuestra estrategia del “DESARROLLO COMPETITIVO”
Intedya es una compañía global especializada en la CONSULTORÍA, AUDITORÍA, FORMACIÓN y las soluciones tecnológicas especializadas en la gestión de la CALIDAD, EL MEDIOAMBIENTE, LA SEGURIDAD ALIMENTARIA, LABORAL Y DE LA INFORMACIÓN, tanto  las empresas y como entidades públicas y privadas del cualquier tipo. Nuestra estrategia del “DESARROLLO COMPETITIVO” se basa en nuestra experiencia en consultoría, para ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus clientes, proveedores, accionistas y la sociedad de la que forman parte Mantenemos estrecho colaboración con todas las entidades de referencia en nuestro sector, Institutos y Entidades de Normalización y/o Certificación, secretarías, instituciones y ministerios gubernamentales, Asociaciones Sectoriales, etc.

3 ISO 27001 Antecedentes La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. Las dos partes de la norma BS 7799 se revisaron en y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO en el año La serie de Normas ISO apareció en 2005, tomando como base la norma británica BS de y dando lugar al estándar ISO/IEC :2005. Actualmente la versión del estándar certificable es ISO 27001:2013.

4 ISO 27001 ¿Qué es? El ISO/IEC es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La serie de normas ISO constan de varias normas: ISO 27000: Fundamentos y vocabulario: presenta al usuario los conceptos. ISO 27001: Requisitos para un Sistema de Gestión de la Información (SGSI). NORMA CERTIFICABLE. ISO 27002: Guía de Buenas prácticas. No certificable. ISO 27003: Guía de Implementación. No certificable. ISO 27004: Guía para Medición de la Idoneidad de la implantación. No certificable. ISO 27005: Guía para el Análisis de Riesgos. No certificable

5 ISO 27001 ¿Por qué es importante?
La ISO/IEC especifica los requisitos para el establecimiento de controles de seguridad, con el fin de proteger todo aquello que es impotante para la organización desde el punto de vista de seguridad de la información, sus activos. La adopción de un Sistemas de Gestión de Seguridad de la Información (SGSI) debería ser fruto de una decisión estratégica de una organización. Lograr la certificación de un SGSI bajo la norma ISO/IEC supone un aval ante clientes y proveedores en materia de seguridad de la información y abrirá nuevas opciones de negocio en mercados nacionales e internacionales.

6 ISO 27001 Beneficios para la propia Organización
La implantación y certificación de un sistema de gestión de gestión de seguridad de la información, de acuerdo a ISO , aporta las siguientes ventajas y beneficios: Eficiencia en la gestión de la empresa, al tomarse medidas para minimizar los riesgos asociados a la gestión de la información. Solvencia empresarial, por disponer de un sistema que garantizar la confidencialidad, integridad y disponibilidad de la información.. Continuidad, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial. Mejora de la imagen de la empresa, al evidenciar su compromiso con la seguridad de la información propia y de clientes.

7 ISO 27001 Ventajas para el Cliente
Al demostrar un compromiso por la seguridad de la información ya que la una de las principales preocupaciones a la hora de confiar un proyecto a una empresa, es la confidencialidad de la información compartida. Al trabajar de acuerdo a un estándar reconocido en el mercado.

8 ISO 27001 …TODOS Sectores de Aplicación
Los sistemas de gestión de seguridad de la información, basados en la ISO 27001, abarcan todo tipo de organizaciones (empresas, organismos y entes públicos, entidades sin ánimo de lucro) : Alimentación, Madera, Papel, Edición y artes gráficas, Química, Productos plásticos, Extractivas y fabricación de hormigón, cemento y productos similares, Productos metálicos, Maquinaria y automoción, Electricidad y Electrónica, Naval, Construcción y actividades relacionadas, Mantenimiento de vehículos, Comercialización y servicios varios, Hostelería, Transporte, Informática y telecomunicaciones, Actividades financieras y seguros, Formación, Sanitario, Medioambiental, Textil, Público, Farmacia, Automoción, Servicios,…, independientemente de su tamaño, actividad,… …TODOS

9 ISO 27001 Requisitos generales
La organización debe realizar la Evaluación de riesgos, definiendo la metodología empleada. Formular un plan de tratamiento de riesgos que identifique las acciones que se implantaran para manejar y minimizar dichos riesgos. Asignar responsables de la seguridad de la información y medios necesarios para garantizarla. Asegurar la seguridad de la información en el servicio a terceros y en el intercambio de la información.

10 ISO 27001 Requisitos documentales Política de Seguridad.
Acuerdos de confidencialidad. Inventario de Activos, propiedad de los activos. Plan de mantenimiento de Equipos. Procedimiento de Gestión del Cambio. Se deben realizar copias de back-up o respaldo de la información comercial y software esencial. Procedimiento para el control de servicio de redes. Procedimiento de manejo de la información. Se deben registrar las actividades del administrador y operador del sistema. Política de control de acceso en base a los requerimientos de seguridad y comerciales. La asignación de claves se debe controlar a través de un proceso de gestión formal.

11 1.- Objeto y Campo de Aplicación. 2.- Normas para Consulta.
ISO 27001 La Norma: Apartados 0.- Introducción. 1.- Objeto y Campo de Aplicación. 2.- Normas para Consulta. 3.- Vocabulario.

12 ISO 27001 La Norma: Apartado 4 (I) Creación y gestión del SGSI
Sistema de Gestión de Seguridad de la Información Creación y gestión del SGSI Política, Objetivo, Alcance, Procedimientos, … Definir metodología para el análisis de riesgos Identificación de riesgos, análisis y valoración Selección Objetivos de Control y Controles

13 ISO 27001 La Norma: Apartado 4 (II)
Sistema de Gestión de Seguridad de la Información Elaboración de la Declaración de aplicabilidad Control de documentos Control de registros

14 ISO 27001 La Norma: Apartado 5 Responsabilidad de la Dirección
Compromiso de la Dirección. Provisión de recursos Para establecer, implementar, operar, supervisar, revisar,mantener y mejorar el SGSI Mantener la seguridad adecuada mediante la aplicación correcta de lso controles implantados Mejora del SGSI Concienciación, formación y capacitación. Determinar la competencias necesarias para el personal encargado y relacionado con el SGSI.

15 ISO 27001 La Norma: Apartado 6 Auditorías internas Determinar si los objetivos de control, los controles, los procesos y los procedimientos cumple: Requisitos de la norma Legislación aplicable Resquisitos de seguridad Revisar mantenimiento. Revisar resultado del sistema

16 ISO 27001 La Norma: Apartado 7 Revisión del SGSI por la Dirección
Planificación Datos iniciales de la revisión Resultados de las auditorías internas, cambios en vulnerabilidades o amenzas, ... Resultados de la revisión Mejora de la eficacia del SGSI, actualziaciones de la evaluación de riesgos y del plan de tratamiento de riesgos, modificaciones en requisitos del negocio, seguridad, procesos, requisitos legales, …

17 ISO 27001 La Norma: Apartado 8 Mejora del SGSI Mejora continua.
Acción correctiva. Acción preventiva.

18 ISO 27001 La Norma: Anexo A (I) Objetivos de Control y Controles
A.5 Política de seguridad A.6 Aspectos organizativos de la seguridad de la información A.7 Gestión de activos A.8 Seguridad ligada a los recursos humanos A.9 Seguridad física y ambiental

19 ISO 27001 La Norma: Anexo A (II) Objetivos de Control y Controles
A.10 Gestión de comunicaciones y operaciones A.11 Control de acceso A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.13 Gestión de incidentes de seguridad de la información

20 ISO 27001 La Norma: Anexo A (III) Objetivos de Control y Controles
A.14 Gestión de la continuidad de negocio A.15 Cumplimiento

21 ISO 27001 Casos de éxito: A.7.1.1 Inventario de activos
y A Uso aceptable de los activos Control de los Registros Requisito: Conseguir y mantener una protección adecuada de los acrivos de la organización. Situación de partida: Empresa de mantenimiento informático que dispone de portátiles para la realización del trabajo de sus técnicos en las instalaciones del cliente. Los técnicos los utilizan sin establecerse condiciones específicas de mantenimiento y responsabilidad. Solución: El desarrolla un procedimeinto para la asignación de un propietario para cada uno de los portátiles y la definición de unas condiciones de uso tanto fuera de las instalaciones como una vez devuelto. Esto garantiza que los equipos estarán siempre en condiciones óptimas de uso..

22 ISO 27001 Casos de éxito: A.8.3.2 Devolución de activos y
A Retirada de los derechos de acceso Requisito: Asegurar que los empleados, contratistas y terceros abandonan la organización o cambian de puesto de trabajo de una manera ordenada. Situación de partida: Empresa dedicada a la prestación de servicios legales y de consultoría con dos oficinas y trabajando sobre una aplicación alojada en Internet a la que tiene acceso todo el personal tanto desde las oficinas como desde los portatiles de la empresa que utilizan en visitas a clientes. Solución: El consultor propuso la definición de un protocolo de Baja en la Organización, para que además de proceder a la retirada de activos fisicos como los portátiles, se proceda a la baja en todos los sistemas informáticos tanto internos como externos: intranet, aplicaciones web, redes sociales, correo electrónico.

23 ISO 27001 Casos de éxito: A.10.7.2 Retirada de soportes
Requisito: Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Situación de partida: Empresa de formación que realiza copias de seguridad en soporte CD/DVD y que los elimina cuando se realizan nuevas copias. Solución: El consultor propuso la definición de un protocolo de eliminación y destrucción de soportes digitales que afecta a CD/DVD y también a Discos Duros y ordenadores obsoletos, con objeto de garantizar personal no autorizado puede acceder a la información una vez que salgan esos soporte de la seguridad establecida en la organización: empresas de reciclado, empresas de limpieza, ...

24 ISO 27001 Casos de éxito: A.11.4.5 Segregación de las redes
Requisito: Prevenir el acceso no autorizado a los servicios en red. Situación de partida: Empresa de trabajo temporal que dispone de servicio de red inalámbirica en sus instalaciones para que todo el personal fijo y eventual pueda acceder a la Red. Solución: Se propuso la segmentación de la red para garantizar la seguridad del acceso a la red corporativa al personal autorizado y ofrecer de forma segura el servicio inalámbrico al pesonal eventual. Uso de VLAN y Trunking.

25 ISO 27001 Casos de éxito: A.12.5.1 Procedimientos
de control de cambios Requisito: Mantener la seguridad del software y de la información de las aplicaciones. Situación de partida: Empresa de consultoría con software propio destinado a la gestión de proyectos en la que se van realizando actualizaciones continuas en función de las necesidades de la organización Solución: Se propuso la definición de un procedimiento para documentar las pruebas de verificación de las nuevas actualizaciones de software en un instalación de desarrollo (equipos y redes diferentes) previas a la puesta en producción.

26 ISO 27001 Casos de éxito: A.14.1.3 Desarrollo e
implementación de planes de continuidad que incluyan la seguridad de la información Requisito: Deben desarrollarse e implementarse planes para mantener o restaurar las operaciones y garantizar la disponiblidad de la información en el nivel y en el tiempo requeridos, después de una interrupción o un fallo de los procesos de negocio críticos. Situación de partida: Empresa de e-learing con alumnos a nivel mundial y una única plataforma de formación Solución: Se propone hacer un Plan de Contingencia para los casos en los que se produzca caida de servicio por parte del proveedor de servicio e-learning. Se definen las condiciones de inicio y restauración del Plan, sus características, … y las condiciones de verificación.

27 Desarrollo Competitivo
(Competitive development)

Descargar ppt "Introducción a ISO Presentación Inicial de Consultoría."

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES

TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES
Diana Carolina Rojas Alarcón María Alejandra Hernández

Diana Carolina Rojas Alarcón María Alejandra Hernández
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
SISTEMAS DE GESTION DE CALIDAD

SISTEMAS DE GESTION DE CALIDAD
Asistencia Técnica en S y SO Desarrollo Competitivo (Competitive development) www.intedya.com Rev.00.

Asistencia Técnica en S y SO Desarrollo Competitivo (Competitive development) Rev.00.
Introducción a ISO Presentación Inicial de Consultoría.

Introducción a ISO Presentación Inicial de Consultoría.
Introducción a ISO 50001:2011 Presentación Inicial de Consultoría.

Introducción a ISO 50001:2011 Presentación Inicial de Consultoría.
Estudios de Contaminación Desarrollo Competitivo (Competitive development) www.intedya.com Rev.00.

Estudios de Contaminación Desarrollo Competitivo (Competitive development) Rev.00.
OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL

OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL
SISTEMA DOBLE INTEGRADO

SISTEMA DOBLE INTEGRADO
Introducción a ISO Ecodiseño

Introducción a ISO Ecodiseño
Instituto Tecnológico Superior de Champotòn

Instituto Tecnológico Superior de Champotòn
UNE-EN ISO/IEC 17025 Requisitos generales para la competencia de los laboratorios de ensayo y calibración.

UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.

Presentaciones similares

Anuncios Google