Actualización ISO Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team de septiembre de 2014.

Slides:



Advertisements
Presentaciones similares
Aseguramiento de la Calidad
Advertisements

Mapa de Riesgos de Corrupción. ¿Qué es? Instrumento de gestión que le permite a la entidad identificar, analizar y controlar los posibles hechos generadores.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
Ventajas de la aplicación de la Norma IRAM-ISO de continuidad de las operaciones y/o negocios. C.A.S. – INTERSEC 2016 Ventajas de la aplicación de.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
Unidad de Comunicación e Imagen
0.3 DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
Auditoría y Seguridad de Sistemas de Información
Mejores Prácticas en Proyectos de Desarrollo de Software
Universidad de las Fuerzas Armadas
Sistema de Gestión Ambiental ISO
JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
Gestión de Riesgos Corporativos
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
Diagnóstico MECI 2014 Elemento 2.2.1
Algunos comentarios y/o recomendaciones
NORMA INTERNACIONAL DE AUDITORÍA 300
Alianza Cooperativa Internacional
Universidad manuela beltran - virtual
EMPRESA ASERRA LTDA. POLÍTICA DE CALIDAD OBJETIVOS DE CALIDAD
Políticas de Seguridad Los Sistemas de Información y la Seguridad.
SISTEMA DE GESTION DE CALIDAD ISO 9001:2015
La figura del Delegado de Protección de Datos
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI
¿Qué es ITIL? “Information Technology Infrastructure Library”
Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:
ARQUITECTURA PARA LA GESTIÓN INTEGRAL DEL RIESGO
GESTIÓN DEL RIESGO Grupo isarco.
Unidad 2.- Marcos de referencia en la gestión de servicios de TI
ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002
Gestión de Riesgos y Control Interno: Función Actuarial Experiencia Peruana.
LINEA DE INVESTIGACION PROTECCION Y CALIDAD
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
RIESGOS LABORALES.
SISTEMA DE GESTION DE LA CALIDAD BAJO LA NORMA ISO – 900I:2000
CARACTERISTICAS GENERALES DE LA NORMA ISO
Procesos de certificación de calidad
El sistema de Calidad de GFI/AST
SOCIALIZACIÓN DE GENERALIDADES DEL SISTEMA INTEGRAL DE GESTIÓN- SIGE
2.13 Auditoría de Continuidad del Negocio
Taller Contexto de la organización. Ing. Jorge Everardo Kaldman Vega. Ingeniero Ambiental Industrial Hermosillo Sonora, México C.P JULIO, 2018.
CONTEXTO DE LA ORGANIZACIÓN
Elaboración de los documentos
SISTEMA DE GESTIÓN DE CALIDAD
ISO 9001:2015 ISO 9001 es la norma internacional encargada de definir los requisitos para un Sistema de Gestión de la Calidad (SGC). Este permite a las.
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
SICADI Sistema de gestión de la calidad
UNIDAD DE GESTIÓN DE POSGRADOS
PRINCIPIOS FUNDAMENTALES DE LA AUDITORÍA FINANCIERA
Procesos Gerenciales Revisión de los Requisitos 4,5 y 6 ISO 9001:2015
Plan de Desarrollo de TI Junio 7, 2018
Dossier de Proyecto para el cliente (Dossier de Calidad)
PRINCIPIOS FUNDAMENTALES DE LA AUDITORIA DE CUMPLIMIENTO
ISO :2015 UNIVERSIDAD TÉCNICA DE MACHALA D.L. No de 14 de Abril de 1969 Calidad, Pertinencia y Calidez UNIDAD ACADÉMICA DE CIENCIAS SOCIALES.
Tema 3 Documentación soporte de un sistema de calidad
Llamocca Atahua, Rosmery Cáceres Mejía, Dayhana Ramos Vega, Estefanía Amar Guevara, Cristofer Herrera Atunga, Pool Aldere Tomayro, Lenin Bensa Sulca, Luis.
SGS EN EL MUNDO Fundada en 1878, es la mayor organización del mundo en el campo de la inspección y la calidad. Opera en 140 países a través de su red.
Sistema de Gestión de Calidad
LINEA DE INVESTIGACION PROTECCION Y CALIDAD
NTC ISO 45001:2018. El nuevo estándar internacional para el Sistema de Gestión de Seguridad y Salud en el Trabajo.
Secretaría de Desarrollo Institucional
MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
Desarrollo de Proyecto de Campo Tema 5
ISO Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la.
Transcripción de la presentación:

Actualización ISO Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team de septiembre de 2014

Contenido Nuevos controles 3 Actualización de ISO27001: Definición de lineamientos 1 2

1. Definición de lineamientos

Definición de lineamientos “Definición de los Lineamientos de la Seguridad de la Información” en el seminario del 2 a 4 de abril, _04_Sr.Murakami_Definition of Information security Guide Line.pdf 4

¿Méritos por separar lineamientos? 5 Se puede actualizar solo una parte de los lineamientos. – Sin modificar la política basíca. Diferentes lineamientos destinados a diferentes sujetos.

¿Méritos por separar lineamientos? 6 Política básica Lineamientos para Proveedores Control de acceso Gestión de Servidor Gestión de Correo electrónicos Gestión de contraseñas Requerimientos de seguridad Lineamientos para Administradores Lineamientos para Usuarios

¿Méritos por separar lineamientos? 7 Política básica Lineamientos para Proveedores Control de acceso Gestión de Servidor Gestión de Correo electrónicos Requerimientos de seguridad Si cambia una parte de Gestión de servidor, pero no hace falta actualizar todos. Lineamientos para Administradores Lineamientos para Usuarios Gestión de contraseñas

2. Actualización de ISO27001:2013

Historia ISO27001 CBS7779-1ISO/IEC 27001: BS Octubre ISO/IEC 27001:2013 Los estanderes ISO se revisan cada 4 o 5 años. 9 CBS

Significativos cambios 2013 La norma ahora es menos descriptiva y prescriptiva. Da mayores libertades en la implementación. Propone un periodo de transición para las organizaciones ya certificadas. – hasta el Fuente: _ISC2_Colombia_Chapter.pdf

Significativos cambios 2013 El modelo PHVA no se referencia explícitamente en la nueva norma. – Los diferentes elementos de PHVA se distribuyen ahora dentro de la estructura común de la norma. – Pero ACTUAR se puede interpretar como el dominio 10 MEJORA. 11 Fuente: _ISC2_Colombia_Chapter.pdf

Estructura ISO/IEC 27001:2013 ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización Entendimiento de la organización y su contexto. Expectativas de las partes interesadas. 5. Liderazgo Liderazgo y compormiso de la Alta Dirección. Organización de los roles, responsabilidades y autoridades 6. Planificación Cómo abordar riesgos y oportunidades 7. Soporte Recursos Personal competente Conciencia y comunicación de las partes interesadas 8. Operación Requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación 9. Evaluación del desempeño Identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. 10. Mejora Las no-conformidades identificadas

Estructura ISO/IEC 27001:2013 ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización Entendimiento de la organización y su contexto. Expectativas de las partes interesadas. 5. Liderazgo Liderazgo y compromiso de la Alta Dirección. Organización de los roles, responsabilidades y autoridades 6. Planificación Cómo abordar riesgos y oportunidades 7. Soporte Recursos Personal competente Conciencia y comunicación de las partes interesadas 8. Operación Requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación 9. Evaluación del desempeño identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. 10. Mejora las no-conformidades identificadas PLAN Do Act Check

ISO 27001:2005 Y LA 27001: ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI Establecer Implementar y Operar Monitorear y Revisar Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora

ISO 27001:2005 Y LA 27001: ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI Establecer Implementar y Operar Monitorear y Revisar Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora ISO 27001: Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora 5 Dominios 7 Dominios

Nuevos requerimientos 4.2 Entendiendo las necesidades y expectativas de las partes interesadas. 4.3 Determinar los objetivos del SGSI. 5.1 Liderazgo y compromiso. 6.1 Acciones para direccionar los riesgos y las oportunidades. 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos. 7.4 Comunicación. 8.1 Planificación y control operativo. 9.1 Seguimiento, medición, análisis y evaluación. 9.3 Revisión de la Dirección No-conformidades y acciones correctivas. 16

4.2 PARTES INTERESADAS Entendiendo las necesidades y expectativas de las partes interesadas debería determinar: – a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información, y – b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. 17 Introduce una nueva figura de las partes interesadas como un elemento primordial para la definición del alcance del SGSI.

¿Quiénes son las partes interesadas? 18 Para definir el alcance de la aplicación de SGSI se debe considerar estas partes interesadas. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

6. Planeación Al planificar el SGSI, el contexto de la organización debe ser tenido en cuenta a través de la consideración de los riesgos y oportunidades incluyéndolas con las partes interesadas. Incluye "riesgos positivos" también conocidos como Oportunidades. 19 Fuente:

A la hora de la identificación de riesgo 20 Para identificar los riesgo y oportunidades se debe considerar necesidades y espectativas de estas partes interesadas. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

A la hora de incidente 21 Por ejemplo, en caso de algún incidete, analizar cuáles son daños causados a las partes interesadas y qué perdidas para compensarlos. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

6. Riesgo El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. 22 Fuente:

¿Cómo evaluar los impactos? 23

Término medio de casos de fuga de información 24 Fuente: Informe IBM sobreInvestigación 2014

25 Daño por un caso (USD) Fuente: Informe IBM sobreInvestigación 2014

26 Costo total promedio (USD millones) Fuente: Informe IBM sobreInvestigación 2014

3. Nuevos controles

Anexo A Referencia de objetivos y controles. Algunos de los controles que permanecen han sido reformulados. Se han eliminado o fusionado algunos controles. 28

ISO 27002:2005 y la 27002:2013 ISO 27001:2005ISO 27001:2013 Dominios1114 Categorías de control 3935 Controles Cambios21 controles borrados 14 nuevos controles 29 Nuevos Dominios A.10 Criptografía A.13 Seguridad de las comunicaciones A.15 Relaciones con los proveedores

ISO27002:2005 vs.27002:2013 ISO27002: Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 30 ISO27002: Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento

ISO27002:2005 vs.27002:2013 ISO27002: Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 31 ISO27002: Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento

Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A Restricciones en la instalación de software A Política de desarrollo de seguridad A Desarrollo de procedimientos para el sistema A Desarrollo de un entorno seguro A Sistema de prueba de seguridad A Información de seguridad para las relaciones de proveedores A Cadena de suministro ICT A Evaluación y decisión de los eventos de seguridad de la información A Respuesta a incidentes de seguridad de la información A Implementación de la continuidad de la seguridad de la información A Disponibilidad de las instalaciones para procesamiento de información. 32

Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A Restricciones en la instalación de software A Política de desarrollo de seguridad A Desarrollo de procedimientos para el sistema A Desarrollo de un entorno seguro A Sistema de prueba de seguridad A Información de seguridad para las relaciones de proveedores A Cadena de suministro ICT A Evaluación y decisión de los eventos de seguridad de la información A Respuesta a incidentes de seguridad de la información A Implementación de la continuidad de la seguridad de la información A Disponibilidad de las instalaciones para procesamiento de información. 33

A Cadena de suministro ICT Los acuerdos con proveedores deben ser establecidos y documentados para asegurar que no haya malentendidos entre la organización y el proveedor respecto a las obligaciones de ambas partes para cumplir requerimientos relevantes de seguridad de la información. 34

Lineamientos (h) los requisitos de gestión de incidentes y procedimientos (en especial de notificación y de colaboración durante la remediación de incidentes); (j) reglamentos pertinentes para la subcontratación, incluyendo los controles que deben ponerse en práctica (m) derecho de auditar los procesos y controles relacionados con el contrato de proveedor; 35

Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A Restricciones en la instalación de software A Política de desarrollo de seguridad A Desarrollo de procedimientos para el sistema A Desarrollo de un entorno seguro A Sistema de prueba de seguridad A Información de seguridad para las relaciones de proveedores A Cadena de suministro ICT A Evaluación y decisión de los eventos de seguridad de la información A Respuesta a incidentes de seguridad de la información A Implementación de la continuidad de la seguridad de la información A Disponibilidad de las instalaciones para procesamiento de información. 36

A Respuesta a los incidentes de seguridad de la información Incidentes de seguridad de la información deben ser respondidos por un punto de contacto y demás personas interesadas de la organización o las partes externas nominadas. 37

Lineamientos (a) la recopilación de pruebas tan pronto como sea posible después de la ocurrencia; (e) comunicar la existencia del incidente de seguridad de la información o cualquier detalle pertinente del mismo a otras personas u organizaciones internas y externas con una necesidad de conocer. (f) tratar con vulnerabilidad en la seguridad de la información (es) encontrada para causar o contribuir al incidente; 38

Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A Restricciones en la instalación de software A Política de desarrollo de seguridad A Desarrollo de procedimientos para el sistema A Desarrollo de un entorno seguro A Sistema de prueba de seguridad A Información de seguridad para las relaciones de proveedores A Cadena de suministro ICT A Evaluación y decisión de los eventos de seguridad de la información A Respuesta a incidentes de seguridad de la información A Implementación de la continuidad de la seguridad de la información A Disponibilidad de las instalaciones para procesamiento de información. 39

A Disponibilidad de las instalaciones Las instalaciones de procesamiento de la información deben ser implementadas con redundancia suficiente para satisfacer los requisitos de disponibilidad. 40

Lineamientos Cuando la disponibilidad no puede ser garantizada mediante la arquitectura de los sistemas existentes, componentes redundantes o arquitecturas deben ser considerados. Cuando los sistemas de información son aplicables, las redundancias deben ser probadas para asegurar la conmutación por error de un componente a otro componente según lo previsto. 41

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.