La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla.

Publicada porcristhian david castro apaza Modificado hace 8 años

Presentaciones similares

Presentación del tema: "UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla."— Transcripción de la presentación:

1 UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla ESTUDIANTE : Mirian Suani Ramos Arocutipa ISO - 27001

2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

3 ¿Qué es la ISO 27001? Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Su primera publicación se realizo en el año 2005 y a partir de esta ha tenido varias modificaciones, la ultima de ella se realizo en el año 2013. Esta norma esta diseñada para implementarse en cualquier tipo de empresa ya sea publica o privada, pequeña o grande, con animo o sin animo de lucro, y de la misma avalando la certificación en dicha norma. Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Su primera publicación se realizo en el año 2005 y a partir de esta ha tenido varias modificaciones, la ultima de ella se realizo en el año 2013. Esta norma esta diseñada para implementarse en cualquier tipo de empresa ya sea publica o privada, pequeña o grande, con animo o sin animo de lucro, y de la misma avalando la certificación en dicha norma.

4 ANTECEDENTES 1901 Normas “BS”: La British Standards Institution publica normas con el prefijo “BS” con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 1995 BS 7799 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certificación ni establecía la forma de conseguirla. 1998 BS 7799-2 Revisión de la anterior norma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. 1999 BS 7799-1 Ser Revisada para convertirse en Standar 2000 ISO/IEC 17799:2000: La Organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios 2002 BS 7799-2:2002: Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora en Reino Unido y en otros países. 2005 ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. 2007 ISO 17799: Se renombra y pasa a ser la ISO 27002:2005 2007 ISO/IEC 27001:2007: Se publica la nueva versión. 2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. 2013 Desarrollado con base en el anexo SL de ISO/IEC del “Suplemento Consolidado de las Directivas ISO/IEC”

5

6 Problemas Encontrados Las Organizaciones al momento de encarar proyectos asociados a la implementación de un SGSI, en primer lugar suelen requerir un “Análisis de Brecha” para conocer “Cómo están” y así poder identificar el esfuerzo, tiempo y recursos que deberán invertir para lograr su implementación y posterior certificación (si es requerido). Es en esta etapa en la cual se identifican las principales debilidades que se detallan a continuación y que resumen la postura de seguridad de una importante cantidad de empresas.SGSI Las Organizaciones al momento de encarar proyectos asociados a la implementación de un SGSI, en primer lugar suelen requerir un “Análisis de Brecha” para conocer “Cómo están” y así poder identificar el esfuerzo, tiempo y recursos que deberán invertir para lograr su implementación y posterior certificación (si es requerido). Es en esta etapa en la cual se identifican las principales debilidades que se detallan a continuación y que resumen la postura de seguridad de una importante cantidad de empresas.SGSI

7 Problemas Encontrados  Falta de Compromiso de la Alta Dirección  Ausencia de una adecuada Gestión de Riesgos.  Debilidades en la Gestión de Activos.  Falta de Recursos  Ausencia de Documentación  Ausencia de Roles y Responsabilidades  Resistencia al Cambio

8 AMENAZASVULNERABILIDADES ROBOALMACEN DESPROTEGIDO ERROR DE ENTRADA DE DATOS DEL PERSONAL COMPLICADOS PROCEDIMIENTOS DE PROCESO DE DATOS ROBO DE INFORMACIÓN DATOS NO CIFRADOS VIRUS, MALWARE, GUSANOS USO DE SOFTWARE PIRATA ACCESO NO AUTORIZADO NO REVISION DE DERECHOS DE ACCESO PERDIDA DE INFORMACIÓN PROCEDIMIENTO DE BACKUP CONSECUENCIAS

9 RIESGOS TIPO DE VULNERABILIDAD EJEMPLO HADWAREMantenimiento insuficiente Portabilidad SOFTWAREFalta de documentación Interfaces complicadas PERSONALFalta de capacitación Formación Insuficiente

10 PROPUESTA ESTRATEGICA ISO- 27001

11 Seguridad de la Información La seguridad de la información es el conjunto de medidas preventivas de las organizaciones que permiten proteger la información buscando mantener las dimensione (confidencialidad, disponibilidad e integridad). Tipos de Información.  Impresa o escrita a mano  Grabada con asistencia técnica  Transmitida por correo electrónico  Incluida en un sitio web  Mostrada en videos corporativos, entro otras. La seguridad de la información es el conjunto de medidas preventivas de las organizaciones que permiten proteger la información buscando mantener las dimensione (confidencialidad, disponibilidad e integridad). Tipos de Información.  Impresa o escrita a mano  Grabada con asistencia técnica  Transmitida por correo electrónico  Incluida en un sitio web  Mostrada en videos corporativos, entro otras.

12 Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la protección de los activos de información para lograr objetivos de negocio. El SGSI en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización. ¿QUE NOS PERMITE?

13 Asegurar la confidencialidad, que la información está accesible solo para aquellas personas autorizadas a tener acceso. Proteger la integridad de la precisión y totalidad de la información y los métodos de tratamiento. Garantizar la disponibilidad, que los usuarios autorizados tengan acceso a la información y los activos relacionados cuando lo necesitan. ISO 27001 le ayudará a proteger su información en términos de:

14 Circulo DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestión.

15 Pasos para implementación de la Norma ISO 27001 1.Obtener el apoyo de la dirección. 2.Utilizar una metodología para gestión de proyectos. 3.Definir el alcance del SGSI. 4.Redactar una política de alto nivel sobre seguridad de la información. 5.Definir la metodología de evaluación de riesgos. 6.Realizar la evaluación y el tratamiento de riesgos. 7.Redactar la Declaración de aplicabilidad 8. Redactar el Plan de tratamiento de riesgos. 1.Obtener el apoyo de la dirección. 2.Utilizar una metodología para gestión de proyectos. 3.Definir el alcance del SGSI. 4.Redactar una política de alto nivel sobre seguridad de la información. 5.Definir la metodología de evaluación de riesgos. 6.Realizar la evaluación y el tratamiento de riesgos. 7.Redactar la Declaración de aplicabilidad 8. Redactar el Plan de tratamiento de riesgos. 9.Definir la forma de medir la efectividad de sus controles y de su SGSI. 10.Implementar todos los controles y procedimientos necesarios. 11.Implementar programas de capacitación y concienciación. 12.Realizar todas las operaciones diarias establecidas en la documentación de su SGSI. 13.Monitorear y medir su SGSI 14.Realizar la auditoría interna. 15.Realizar la revisión por parte de la dirección. 16.Implementar medidas correctivas

16 Como se Obtiene la Certificación en ISO 27001?

17 Certificación en ISO 27001? Tener la certificación demuestra tener un compromiso inequívoco de la dirección con la seguridad de la información.

18 ASPECTOS Para la Certificación en ISO 27001?  Compromiso y sensibilización  Organización  Análisis de procesos y servicios  Gestión de riesgos  Mejora continua  Compromiso y sensibilización  Organización  Análisis de procesos y servicios  Gestión de riesgos  Mejora continua

19 Compromiso Compromiso de toda la entidad durante el proceso, con el fin de concientizar los principios de seguridad que percibe en SGSI y crear una cultura de seguridad a lo largo de la organización. Organización En la fase de implantación y lanzamiento del proyecto, se establece la estructura organizativa donde se garantiza la disponibilidad de los recursos necesarios para el resto de las fases. ASPECTOS Para la Certificación en ISO 27001?

20 Análisis de Procesos Se analizaran todos los procesos y servicios cubiertos por el SGSI, para asegurarse el buen funcionamiento de los mismos, las interrelaciones que existes entre ellos y los activos de información implicados en cada uno de ellos. Gestión de Riesgos Se busca definir las distintas amenazas y vulnerabilidades a las que están expuestos cada uno de los activos, valorando el riesgo que suponen cada uno de ellos y estableciendo las medidas de seguridad necesarias para alcanzar lo objetivos establecidos. ASPECTOS Para la Certificación en ISO 27001?

21 Mejora Continua El fin de un sistema de gestión en de obtener una mejora continua, por lo que nunca se deja revisar y mejorar la metodología. ASPECTOS Para la Certificación en ISO 27001? REVISAR MEJORAR METODOLOGÍA

22 BENEFICIOS ISO 27001  Identificar los riesgos y establecer controles para gestionarlos o eliminarlos.  Confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.  Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas.  Conseguir que las partes interesadas y los clientes confíen en la protección de los datos.  Demostrar conformidad y conseguir el estatus de proveedor preferente.

23 RESULTADOS  Establecimiento de una metodología de gestión de la seguridad clara y estructurada.  Reducción del riesgo de pérdida, robo o corrupción de información.  Los clientes tienen acceso a la información a través medidas de seguridad.  Los riesgos y sus controles son continuamente revisados.  Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.  Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

Descargar ppt "UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla."

Presentaciones similares

TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Argentina - 2015 Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.

Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.

Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
IMPLEMENTACIÓN ISO – EMPRESA FICTICIA

IMPLEMENTACIÓN ISO – EMPRESA FICTICIA
La Gestión de Seguridad de Información Basado en ISO-27001:2005

La Gestión de Seguridad de Información Basado en ISO-27001:2005
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
Sistemas de Gestión.

Sistemas de Gestión.
Julio, 2010 INFORME Revisión por la Dirección General

Julio, 2010 INFORME Revisión por la Dirección General
SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.

SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.
ISO 9001-2000 BIENVENIDOS.

ISO BIENVENIDOS.
Introducción a la Norma

Introducción a la Norma
Dirección de gestión y Control

Dirección de gestión y Control
Introducción a la Seguridad Informática

Introducción a la Seguridad Informática
“SEGURIDAD INDUSTRIAL” CUARTO “A” TEMA: Programa de seguridad y reglamento interno de seguridad DOCENTE: Ing. Edisson Patricio Jordán Hidalgo ALUMNOS :

“SEGURIDAD INDUSTRIAL” CUARTO “A” TEMA: Programa de seguridad y reglamento interno de seguridad DOCENTE: Ing. Edisson Patricio Jordán Hidalgo ALUMNOS :

Presentaciones similares

Anuncios Google