La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La Gestión de Seguridad de Información Basado en ISO-27001:2005

Publicada porVeronica Saavedra Espinoza Modificado hace 6 años

Presentaciones similares

Presentación del tema: "La Gestión de Seguridad de Información Basado en ISO-27001:2005"— Transcripción de la presentación:

1 La Gestión de Seguridad de Información Basado en ISO-27001:2005
Presentado por: Miguel Piantini Gerente de Seguridad Informática Banco de Reservas de la República Dominicana

2 “El Arte del Engaño” Kevin Mitnick
“Una compañía puede hacer comprado las mejores tecnologías de seguridad que el dinero pueda comprar, entrenado a su personal tan bien que aseguren todos sus secretos comerciales antes de irse a casa en la noche, y contratar guardias de seguridad de la mejor firma de seguridad del entorno. ESA COMPAÑÍA AÚN ES TOTALMENTE VULNERABLE”.

3 “El Arte del Engaño” Kevin Mitnick
“Las personas pueden seguir cada una de las mejores prácticas de seguridad recomendadas por expertos, instalar diligentemente cada producto de seguridad recomendado, revisar minuciosamente las configuraciones correctas de los sistemas, y aplicar parches de seguridad. ESAS PERSONAS AÚN ESTÁN COMPLETAMENTE VULNERABLES”.

4 “El Arte del Engaño” Kevin Mitnick
¿Por Qué? “Porque el Factor Humano es verdaderamente la cadena más débil de la seguridad.”

5 “La información en sí misma constituye un objetivo
“La información en sí misma constituye un objetivo. La información es la nueva divisa mundial” Ralph Basham, Director Servicio Secreto USA. El nuevo objetivo ... La Información

6 Gestión Seguridad Información Modelo Reactivo
Ataque Información Ataque Ataque Ataque

7 Gestión Seguridad Información Modelo Reactivo
La colocación de controles en los procesos se basa en la experiencia pasada, sobre todo en incidentes pasados. Prácticamente, la única opción para tratar los riesgos latentes es reducción a través de implementación de controles. No hay revisiones de la gestión de la seguridad basadas en indicadores de eficacia.

8 Gestión Seguridad Información Modelo Reactivo
No se toma en cuenta a las personas en la implementación de controles con la debida profundidad a través de programas de toma de conciencia. No está basado en administración de riesgos, sino en administración de incidentes. La seguridad es tratada como un proyecto (inicio – fin) más que como un proceso repetitivo.

9 CSI / FBI Computer Crime and Security Survey 2006

10 74%

11 Tecnología de Primera

12 Autoevaluación

13 Autoevaluación ¿Seguridad es parte de la estrategia de negocios?
¿Está involucrada la alta gerencia de la organización en aspectos de seguridad? ¿Existe un responsable de la seguridad? (CSO, CISO) ¿A quién reporta en la organización? ¿En qué porcentaje depende su organización de la tecnología?

14 Autoevaluación ¿Existe una adecuada administración de riesgos?
¿Existen planes de continuidad de negocios y recuperación de desastres? ¿Con qué frecuencia se actualizan? ¿Está la organización cumpliendo con las leyes y reglamentos de su país y/o internacionales?

15 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

16 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
“La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”

17 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

18 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo

19 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Planificar. Definir el alcance en términos de las características del negocio, la organización, ubicación, activos, tecnología. Definir una política del SGSI que incluya: El sentido de la dirección general para la acción respecto a la Seguridad de la Información. Requerimientos legales. Alineación con la gestión estratégica de la organización. El criterio de evaluación del riesgo. Aprobación de la alta gerencia.

20 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.

21 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.

22 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Planificar. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.

23 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Hacer

24 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.

25 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
3 Revisar

26 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.

27 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.

28 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
4 Actuar

29 Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.

30 Certificación ISO-27001:2005

31 Certificación ISO-27001:2005 Entidad competente e independiente afirma por escrito una empresa determinada tiene implementado un Sistema de Gestión de Seguridad de Información acorde al estándar. Esto asegura la “Calidad en la Gestión de la Seguridad.”

32 Certificación ISO-27001:2005 Ventajas:
Enfoque estructurado basado en riesgos de la seguridad de la información. Empleados deben tomar en serio la seguridad. Penalidades por no cumplimiento. Sus clientes confiarán más en su empresa.

33 Certificación BS-7799 Ventajas:
Compañías extranjeras estarán más confiadas a realizar acuerdos de negocios. La organización pudiera negociar mejores condiciones con compañías reaseguradoras. Puede utilizarlo como un diferenciador y sacar ventaja competitiva.

34 Factores Claves de Éxito en la Implementación de un SGSI
Política de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participación visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. Compatibilidad con la cultura organizacional. Entrenamiento y educación.

35 Conclusiones Hoy en día las organizaciones dependen en gran medida de su tecnología y sus activos de información. Por lo anterior, impera una protección adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado.

36 Conclusiones Nada es estático, la seguridad no es la excepción. Mejora continua. Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.

37 Preguntas y Respuestas

Descargar ppt "La Gestión de Seguridad de Información Basado en ISO-27001:2005"

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Argentina - 2015 Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.

Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.

SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
FACULTAD DE INGENIERÍA INGENIERÍA DE MANTENIMIENTO MECÁNICO INTEGRANTES: Robert Lugo Mario Piai Miguel Osorio Adrián Rojas ENFOQUE ESTRATÉGICO Y COMO SE.

FACULTAD DE INGENIERÍA INGENIERÍA DE MANTENIMIENTO MECÁNICO INTEGRANTES: Robert Lugo Mario Piai Miguel Osorio Adrián Rojas ENFOQUE ESTRATÉGICO Y COMO SE.
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.

Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.

Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
MAPEO DE PROCESOS. INTRODUCCION Las empresas u organizaciones para poder ser competitivas no solo deben tener planes y estrategias adecuadas, además los.

MAPEO DE PROCESOS. INTRODUCCION Las empresas u organizaciones para poder ser competitivas no solo deben tener planes y estrategias adecuadas, además los.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
Plan de Continuidad de las TIC

Plan de Continuidad de las TIC
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA

Presentaciones similares

Anuncios Google