La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Actualización ISO Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team de septiembre de 2014.

Publicada porMiguel Ángel Carrizo Montero Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Actualización ISO Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team de septiembre de 2014."— Transcripción de la presentación:

1 Actualización ISO27001 2013 Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team 23-25 de septiembre de 2014

2 Contenido Nuevos controles 3 Actualización de ISO27001:2013 2 Definición de lineamientos 1 2

3 1. Definición de lineamientos

4 Definición de lineamientos “Definición de los Lineamientos de la Seguridad de la Información” en el seminario del 2 a 4 de abril, 2014 20140402_04_Sr.Murakami_Definition of Information security Guide Line.pdf 4

5 ¿Méritos por separar lineamientos? 5 Se puede actualizar solo una parte de los lineamientos. – Sin modificar la política basíca. Diferentes lineamientos destinados a diferentes sujetos.

6 ¿Méritos por separar lineamientos? 6 Política básica Lineamientos para Proveedores Control de acceso Gestión de Servidor Gestión de Correo electrónicos Gestión de contraseñas Requerimientos de seguridad Lineamientos para Administradores Lineamientos para Usuarios

7 ¿Méritos por separar lineamientos? 7 Política básica Lineamientos para Proveedores Control de acceso Gestión de Servidor Gestión de Correo electrónicos Requerimientos de seguridad Si cambia una parte de Gestión de servidor, pero no hace falta actualizar todos. Lineamientos para Administradores Lineamientos para Usuarios Gestión de contraseñas

8 2. Actualización de ISO27001:2013

9 Historia ISO27001 CBS7779-1ISO/IEC 27001:2005 19992002 BS7799-2 2005 2013 Octubre ISO/IEC 27001:2013 Los estanderes ISO se revisan cada 4 o 5 años. 9 CBS7779 1995

10 Significativos cambios 2013 La norma ahora es menos descriptiva y prescriptiva. Da mayores libertades en la implementación. Propone un periodo de transición para las organizaciones ya certificadas. – hasta el 2015-04-01 10 Fuente: http://isc2capitulocolombia.org/portal/images/documents/ISO_27001- 2013_ISC2_Colombia_Chapter.pdf

11 Significativos cambios 2013 El modelo PHVA no se referencia explícitamente en la nueva norma. – Los diferentes elementos de PHVA se distribuyen ahora dentro de la estructura común de la norma. – Pero ACTUAR se puede interpretar como el dominio 10 MEJORA. 11 Fuente: http://isc2capitulocolombia.org/portal/images/documents/ISO_27001- 2013_ISC2_Colombia_Chapter.pdf

12 Estructura ISO/IEC 27001:2013 ISO 27001:2013 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización Entendimiento de la organización y su contexto. Expectativas de las partes interesadas. 5. Liderazgo Liderazgo y compormiso de la Alta Dirección. Organización de los roles, responsabilidades y autoridades 6. Planificación Cómo abordar riesgos y oportunidades 7. Soporte Recursos Personal competente Conciencia y comunicación de las partes interesadas 8. Operación Requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación 9. Evaluación del desempeño Identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. 10. Mejora Las no-conformidades identificadas

13 Estructura ISO/IEC 27001:2013 ISO 27001:2013 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización Entendimiento de la organización y su contexto. Expectativas de las partes interesadas. 5. Liderazgo Liderazgo y compromiso de la Alta Dirección. Organización de los roles, responsabilidades y autoridades 6. Planificación Cómo abordar riesgos y oportunidades 7. Soporte Recursos Personal competente Conciencia y comunicación de las partes interesadas 8. Operación Requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación 9. Evaluación del desempeño identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. 10. Mejora las no-conformidades identificadas PLAN Do Act Check

14 ISO 27001:2005 Y LA 27001:2013 14 ISO 27001:2005 1. Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora ISO 27001:2013 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora

15 ISO 27001:2005 Y LA 27001:2013 15 ISO 27001:2005 1. Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora ISO 27001:2013 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora 5 Dominios 7 Dominios

16 Nuevos requerimientos 4.2 Entendiendo las necesidades y expectativas de las partes interesadas. 4.3 Determinar los objetivos del SGSI. 5.1 Liderazgo y compromiso. 6.1 Acciones para direccionar los riesgos y las oportunidades. 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos. 7.4 Comunicación. 8.1 Planificación y control operativo. 9.1 Seguimiento, medición, análisis y evaluación. 9.3 Revisión de la Dirección. 10.1 No-conformidades y acciones correctivas. 16

17 4.2 PARTES INTERESADAS Entendiendo las necesidades y expectativas de las partes interesadas debería determinar: – a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información, y – b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. 17 Introduce una nueva figura de las partes interesadas como un elemento primordial para la definición del alcance del SGSI.

18 ¿Quiénes son las partes interesadas? 18 Para definir el alcance de la aplicación de SGSI se debe considerar estas partes interesadas. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

19 6. Planeación Al planificar el SGSI, el contexto de la organización debe ser tenido en cuenta a través de la consideración de los riesgos y oportunidades incluyéndolas con las partes interesadas. Incluye "riesgos positivos" también conocidos como Oportunidades. 19 Fuente: http://www.magazcitum.com.mx/?p=2397

20 A la hora de la identificación de riesgo 20 Para identificar los riesgo y oportunidades se debe considerar necesidades y espectativas de estas partes interesadas. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

21 A la hora de incidente 21 Por ejemplo, en caso de algún incidete, analizar cuáles son daños causados a las partes interesadas y qué perdidas para compensarlos. Entidad Accionistas Autoridad reguladora Clientes ProveedoresEmpleadosContratistas

22 6. Riesgo El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. 22 Fuente: http://www.magazcitum.com.mx/?p=2397

23 ¿Cómo evaluar los impactos? 23

24 Término medio de casos de fuga de información 24 Fuente: Informe IBM sobreInvestigación 2014

25 25 Daño por un caso (USD) 2014 2013 Fuente: Informe IBM sobreInvestigación 2014

26 26 Costo total promedio (USD millones) 2014 2013 Fuente: Informe IBM sobreInvestigación 2014

27 3. Nuevos controles

28 Anexo A Referencia de objetivos y controles. Algunos de los controles que permanecen han sido reformulados. Se han eliminado o fusionado algunos controles. 28

29 ISO 27002:2005 y la 27002:2013 ISO 27001:2005ISO 27001:2013 Dominios1114 Categorías de control 3935 Controles133111 Cambios21 controles borrados 14 nuevos controles 29 Nuevos Dominios A.10 Criptografía A.13 Seguridad de las comunicaciones A.15 Relaciones con los proveedores

30 ISO27002:2005 vs.27002:2013 ISO27002:2005 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 30 ISO27002:2013 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento

31 ISO27002:2005 vs.27002:2013 ISO27002:2005 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 31 ISO27002:2013 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento

32 Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A.12.6.2Restricciones en la instalación de software A.14.2.1Política de desarrollo de seguridad A.14.2.5Desarrollo de procedimientos para el sistema A.14.2.6Desarrollo de un entorno seguro A.14.2.8Sistema de prueba de seguridad A.15.1.1Información de seguridad para las relaciones de proveedores A.15.1.3Cadena de suministro ICT A.16.1.4Evaluación y decisión de los eventos de seguridad de la información A.16.1.5Respuesta a incidentes de seguridad de la información A.17.1.2Implementación de la continuidad de la seguridad de la información A.17.2.1Disponibilidad de las instalaciones para procesamiento de información. 32

33 Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A.12.6.2Restricciones en la instalación de software A.14.2.1Política de desarrollo de seguridad A.14.2.5Desarrollo de procedimientos para el sistema A.14.2.6Desarrollo de un entorno seguro A.14.2.8Sistema de prueba de seguridad A.15.1.1Información de seguridad para las relaciones de proveedores A.15.1.3Cadena de suministro ICT A.16.1.4Evaluación y decisión de los eventos de seguridad de la información A.16.1.5Respuesta a incidentes de seguridad de la información A.17.1.2Implementación de la continuidad de la seguridad de la información A.17.2.1Disponibilidad de las instalaciones para procesamiento de información. 33

34 A.15.1.3 Cadena de suministro ICT Los acuerdos con proveedores deben ser establecidos y documentados para asegurar que no haya malentendidos entre la organización y el proveedor respecto a las obligaciones de ambas partes para cumplir requerimientos relevantes de seguridad de la información. 34

35 Lineamientos (h) los requisitos de gestión de incidentes y procedimientos (en especial de notificación y de colaboración durante la remediación de incidentes); (j) reglamentos pertinentes para la subcontratación, incluyendo los controles que deben ponerse en práctica (m) derecho de auditar los procesos y controles relacionados con el contrato de proveedor; 35

36 Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A.12.6.2Restricciones en la instalación de software A.14.2.1Política de desarrollo de seguridad A.14.2.5Desarrollo de procedimientos para el sistema A.14.2.6Desarrollo de un entorno seguro A.14.2.8Sistema de prueba de seguridad A.15.1.1Información de seguridad para las relaciones de proveedores A.15.1.3Cadena de suministro ICT A.16.1.4Evaluación y decisión de los eventos de seguridad de la información A.16.1.5Respuesta a incidentes de seguridad de la información A.17.1.2Implementación de la continuidad de la seguridad de la información A.17.2.1Disponibilidad de las instalaciones para procesamiento de información. 36

37 A.16.1.5 Respuesta a los incidentes de seguridad de la información Incidentes de seguridad de la información deben ser respondidos por un punto de contacto y demás personas interesadas de la organización o las partes externas nominadas. 37

38 Lineamientos (a) la recopilación de pruebas tan pronto como sea posible después de la ocurrencia; (e) comunicar la existencia del incidente de seguridad de la información o cualquier detalle pertinente del mismo a otras personas u organizaciones internas y externas con una necesidad de conocer. (f) tratar con vulnerabilidad en la seguridad de la información (es) encontrada para causar o contribuir al incidente; 38

39 Nuevos controles ControlDescripción A.6.1.4Seguridad de la información en la gestión de proyectos A.12.6.2Restricciones en la instalación de software A.14.2.1Política de desarrollo de seguridad A.14.2.5Desarrollo de procedimientos para el sistema A.14.2.6Desarrollo de un entorno seguro A.14.2.8Sistema de prueba de seguridad A.15.1.1Información de seguridad para las relaciones de proveedores A.15.1.3Cadena de suministro ICT A.16.1.4Evaluación y decisión de los eventos de seguridad de la información A.16.1.5Respuesta a incidentes de seguridad de la información A.17.1.2Implementación de la continuidad de la seguridad de la información A.17.2.1Disponibilidad de las instalaciones para procesamiento de información. 39

40 A.17.2.1 Disponibilidad de las instalaciones Las instalaciones de procesamiento de la información deben ser implementadas con redundancia suficiente para satisfacer los requisitos de disponibilidad. 40

41 Lineamientos Cuando la disponibilidad no puede ser garantizada mediante la arquitectura de los sistemas existentes, componentes redundantes o arquitecturas deben ser considerados. Cuando los sistemas de información son aplicables, las redundancias deben ser probadas para asegurar la conmutación por error de un componente a otro componente según lo previsto. 41

Descargar ppt "Actualización ISO Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team de septiembre de 2014."

Presentaciones similares

Aseguramiento de la Calidad

Aseguramiento de la Calidad
Mapa de Riesgos de Corrupción. ¿Qué es? Instrumento de gestión que le permite a la entidad identificar, analizar y controlar los posibles hechos generadores.

Mapa de Riesgos de Corrupción. ¿Qué es? Instrumento de gestión que le permite a la entidad identificar, analizar y controlar los posibles hechos generadores.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.

DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
Ventajas de la aplicación de la Norma IRAM-ISO de continuidad de las operaciones y/o negocios. C.A.S. – INTERSEC 2016 Ventajas de la aplicación de.

Ventajas de la aplicación de la Norma IRAM-ISO de continuidad de las operaciones y/o negocios. C.A.S. – INTERSEC 2016 Ventajas de la aplicación de.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
0.3 DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO

0.3 DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
Auditoría y Seguridad de Sistemas de Información

Auditoría y Seguridad de Sistemas de Información
Mejores Prácticas en Proyectos de Desarrollo de Software

Mejores Prácticas en Proyectos de Desarrollo de Software
Universidad de las Fuerzas Armadas

Universidad de las Fuerzas Armadas
Sistema de Gestión Ambiental ISO

Sistema de Gestión Ambiental ISO
JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
Gestión de Riesgos Corporativos

Gestión de Riesgos Corporativos
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
Diagnóstico MECI 2014 Elemento 2.2.1

Diagnóstico MECI 2014 Elemento 2.2.1
Algunos comentarios y/o recomendaciones

Algunos comentarios y/o recomendaciones

Presentaciones similares

Anuncios Google