La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

DEFINICIÓN ISO/IEC es un estándar internacional publicado por:

Publicada porAntonio Navarro Ortíz Modificado hace 8 años

Presentaciones similares

Presentación del tema: "DEFINICIÓN ISO/IEC es un estándar internacional publicado por:"— Transcripción de la presentación:

1

2 DEFINICIÓN ISO/IEC 17799 es un estándar internacional publicado por:
la Organización Internacional de Estándares la Comisión Internacional Electrotécnica con el fin de proveer un esquema estándar y un conjunto de recomendaciones que sirvan de guía a los responsables de la iniciación, implementación, mantenimiento y mejora de la gestión de la seguridad de la información

3 Es la normativa técnica de seguridad de la información más reconocida a nivel internacional.
Su objetivo principal es proteger adecuadamente los activos de información de una organización

4 PUBLICACIÓN DE LA NORMA EN DIVERSOS
PAÍSES En España “Código de buenas prácticas para la Gestión de la Seguridad de la Información” En Chile "Norma técnica sobre seguridad y confidencialidad del documento electrónico".

5 En Bolivia “NB ISO/IEC 17799:2005.” En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004

6 NORMA TECNICA PERUANA Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC :2007 EDI.

7 Marco de las recomendaciones
Las recomendaciones de la NTP-ISO son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan. La NTP-ISO es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.

8 Acciones de la ONGEI Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios: Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la información Boletines de Alertas de Antivirus. Presentaciones técnicas sobre seguridad. Consultorías y apoyo en recomendaciones técnicas.

9 En este sentido La Norma Técnica Peruana ISO– 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas. La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.

10 ¿Cómo establecer los requerimientos de seguridad?
Se identifican las amenazas a los activos Evaluar los riesgos que enfrenta la organización Se evalúan las vulnerabilidades y probabilidades de ocurrencia Se estima el impacto potencial

11 La organización Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: Sus socios comerciales Los contratistas Los prestadores de servicios Establecer un conjunto específico de principios, objetivos y requisitos para el procesamiento de la información

12 Dominios a considerar dentro de NTP

13 Política de seguridad de la información
La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización

14 Documento de política de seguridad de la información
Aprobar, publicar y comunicar a todos los empleados un documento de política de seguridad de la información El documento debería contener

15 una definición de seguridad de la información y sus objetivos globales
gerencia como soporte de los objetivos y principios de la seguridad de la información Un marco para colocar los objetivos de control y mandos, evaluación de riesgo y gestión del riesgo. explicación de las políticas, principios, normas y requisitos importantes para la organización

16 Revisión y evaluación La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.

17 La política debería tener un propietario que sea responsable del desarrollo, revisión y evaluación de la política de seguridad La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información

18 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Organización interna organizar foros de gestión adecuados con las gerencias para aprobar la política de seguridad de la información asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.

19 acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información contactos con especialistas externos en seguridad para mantenerse al día en las tendencias de la industria, la evolución de las normas y los métodos de evaluación

20 Comité de gestión de seguridad de la información
La gerencia debe apoyar activamente en la seguridad demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades

21 Este comité debería realizar las siguientes funciones:
a) asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantes b) formular, revisar y aprobar la política de seguridad de información c) revisión de la efectividad en la implementación de la política de información

22 Coordinación de la seguridad de la información
La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.

23 la coordinación de la seguridad de información debe implicar la cooperación y la colaboración de gerentes, usuarios, administradores, diseñadores de la aplicación, personal de auditoria y seguridad, y habilidades especiales en áreas como seguros, trámites legales, recursos humanos, tecnología de la información o gestión del riesgo.

24 Asignación de responsabilidades sobre seguridad de la información
Esta asignación, debería completarse, dónde sea necesario, con una guía más detallada para ubicaciones, sistemas o servicios específicos. Deberían definirse claramente las responsabilidades locales para activos físicos y de información individualizada y los procesos de seguridad como, por ejemplo, el plan de continuidad del negocio.

25 Es esencial que se establezcan claramente las áreas de las que cada directivo es responsable; en particular deberían establecerse las siguientes: a) deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico; b) debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad c) deberían definirse y documentarse claramente los niveles de autorización

26 Proceso de autorización de recursos para el tratamiento de la información
deberían tener la aprobación adecuada de la gerencia de usuario, autorizando su propósito y uso. También debería obtenerse la aprobación del directivo responsable del mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple con todas las políticas y requisitos de seguridad correspondientes

27 dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los demás dispositivos del sistema debería autorizarse y evaluarse el uso de medios informáticos personales, como laptops o aparatos móviles, para el tratamiento de la información de la organización así como los controles necesarios, ya que pueden introducir nuevas vulnerabilidades.

28 Acuerdos de confidencialidad
Confidencialidad o acuerdos de no divulgación deben anexar los requerimientos para proteger información confidencial usando términos ejecutables legales. Para identificar requerimientos de confidencialidad o acuerdos de no divulgación, se deben considerar los siguientes elementos:

29 a) una definición de la información a ser protegida;
b) duración esperada del acuerdo, incluyendo casos donde la confidencialidad pueda necesitar ser mantenida indefinidamente; c) acciones requeridas cuando un acuerdo sea finalizado; d) responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información

30 Contacto con autoridades
Las organizaciones deben de tener procedimientos instalados que especifiquen cuando y porque autoridades deben ser contactadas y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.

31 Contacto con grupos de interés especial
Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales

32 a) mejorar el conocimiento sobre mejores prácticas y estar actualizado con información relevante de seguridad b) asegurar que el entendimiento del ambiente de seguridad de información es actual y completo c) recibir alertas de detección temprana, advertencias y parches que para los ataques y a las vulnerabilidades

33 d) ganar acceso a consejos especializados de seguridad de información;
e) compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades; f) proveer puntos de enlaces convenientes cuando se trata con información de incidentes de seguridad

34 Revisión independiente de la seguridad de la información.
El alcance de la organización para gestionar la seguridad de información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de la seguridad ocurran.

35 Esta revisión debe ser llevada a cabo por individuos independientemente del área bajo revisión. Los individuos que llevan a cabo estas revisiones deben de tener las habilidades y la experiencia apropiada. Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión. Estos registros deben mantenerse.

36 CONTACTO CON AUTORIDADES
Las organizaciones deben de tener procedimientos que especifiquen cuando y porque autoridades deben ser contactadas y como los incidentes identificados en la seguridad de información deben ser reportados.

37 Los contactos con cuerpos regulatorios son útiles para anticiparse y prepararse a próximos cambios en la ley o en las regulaciones, que deben ser seguidos por la organización. Contactos con otras autoridades incluyen utilidades, servicios de emergencia, seguridad y salud.

38 CONTACTO CON GRUPOS DE INTERÉS ESPECIAL
Los contactos con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales deben ser considerados debido a que: a) Mejorar el conocimiento sobre mejores prácticas y estar actualizado. b) Ganar acceso a consejos especializados de seguridad de información. c) Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.

39 REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN
Esta revisión independiente es necesaria para asegurar la continua conveniencia, suficiencia y eficacia del alcance de la organización hacia la gestión de información de seguridad.

40 Las técnicas de revisión pueden incluir entrevistas a la gerencia, comprobación de expedientes o revisión de los documentos de la política de seguridad. Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión.

41 SEGURIDAD EN LOS ACCESOS DE TERCERAS PARTES

42 Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de información de la organización deberían estar basados en un contrato formal que contenga todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la organización.

43 IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE TERCEROS
La identificación de los riesgos relacionados con el acceso a terceros debe de tomar en cuenta los siguientes puntos: a) El tipo de acceso que terceros tendrán a la información y a las instalaciones del procesamiento de información.

44 b) Los controles necesarios para proteger la información que no debe ser accesible a terceros.
e) Requisitos legales y regulatorios u otras obligaciones contractuales relevantes a terceros que deben ser tomadas en cuenta.

45 REQUISITOS DE SEGURIDAD CUANDO SE TRATA CON CLIENTES
Los siguientes términos deben ser considerados para ser anexados a la seguridad antes de dar a los clientes acceso a los activos de seguridad: Protección de activos. La descripción del servicio o producto disponible. Acuerdos sobre control de accesos.

46 d) Arreglos para reportar, notificar e investigar inexactitudes de información (como detalles personales), incidentes y aberturas en la seguridad de información. e) Las respectivas responsabilidades de la organización y de los clientes.

47 f) Las responsabilidades en materia de legislación.
g) Los derechos de propiedad intelectual, protección contra copias y protección en tareas de colaboración.

48 OUTSOURCING El objetivo de un contrato Outsourcing es mantener la Seguridad de la Información, cuando la responsabilidad de su tratamiento sea externalizado a otra organización.

49 El acuerdo debe asegurar que no exista desentendimiento entre la organización y las terceras partes.

50 Términos que se deben considerar en el acuerdo :
a) Los controles que aseguren la protección del activo. b) Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software

51 c) Una clara estructura y formatos de reportes.
d) El derecho para auditar responsabilidades definidas en el acuerdo, para que dichas auditorias sean llevadas a cabo por terceros y para enumerar los derechos estatutarios de los auditores.

52 e) Definir las responsabilidades de las partes del acuerdo.
f) Responsabilidades con respecto a temas legales.

53 g) Derechos de propiedad intelectual y de asignación de copyright y protección de cualquier otro trabajo de colaboración. En el caso de que las terceras partes sean incapaces de suministrar sus servicios, necesitan ser considerados en el acuerdo con el fin de evitar cualquier retraso en hallar servicios de reemplazo.

54 GRACIAS POR SU ATENCIÓN

Descargar ppt "DEFINICIÓN ISO/IEC es un estándar internacional publicado por:"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
NORMA INTERNACIONAL DE AUDITORÍA 300

NORMA INTERNACIONAL DE AUDITORÍA 300
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
AUDITORIA INTERNA.

AUDITORIA INTERNA.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
Resolución 318/2010 Auditorias

Resolución 318/2010 Auditorias
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.

“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
Módulo 13 Procesos de Verificación de la Implementación del SAA.

Módulo 13 Procesos de Verificación de la Implementación del SAA.

Presentaciones similares

Anuncios Google