SGSI

Download Report

Transcript SGSI 

ISO 27001
SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
ISO 27001
Base de datos
Qué es Información?

ISO 27001

Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos:
 Capital Humano
 Impresa o escrita en papel
 Dispositivos de almacenamiento (Discos,
CDs, etc…)
 Oral (teléfono, móvil, etc.)
 Video, fotos
La Información en las Empresas
ISO 27001
Dentro de una Empresa, la información es
considerada un Activo (un recurso) que tiene
valor o utilidad para sus operaciones
comerciales y su continuidad. Por esta razón,
esta información necesita tener protección
para asegurar una correcta operación del
negocio y una continuidad en sus
operaciones.
La Información en las Empresas
Estos activos pueden ser clasificados de la siguiente
forma:
ISO 27001
•
•
•
•
•
•
•
Activos de Información (datos, manuales de usuario, etc.)
Documentos en Papel (contratos)
Activos de software (aplicación, software de sistema, etc.)
Activos físicos (computadores, medios magnéticos, etc.)
Personal (clientes, trabajadores)
Imagen y reputación de la organización
Servicios (comunicaciones, etc.)
ISO 27001
Qué es seguridad de la
Información?
La seguridad de información se caracteriza por la
preservación de:
Confidencialidad
Integridad
Disponibilidad de la
información
Identificación de Amenazas
Tipos de Amenazas
ISO 27001
Amenazas a
Instalaciones
Amenazas
Sociales
Vulnerabilidades
Tipos de Vulnerabilidades
Control de
Acceso
ISO 27001
Seguridad de los
recursos humanos
Seguridad física y
ambiental
ISO 27001
Seguridad de la Información
SGSI
¿Seguridad de la Información ?
• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
ISO 27001
• Debe protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparte o almacene.
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros
activos comerciales importantes, tiene valor para
la organización y, en consecuencia, necesita ser
protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de
Información (SGSI) es un sistema gerencial
general basado en un enfoque de riesgos para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información”
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
4
Actuar
1
Planificar
3
Revisar
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4
Actuar
3
Revisar
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Definir el enfoque de evaluación del riesgo de
la organización.
• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance
establecido.
• Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Identificar y evaluar las opciones de tratamiento de los
riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos
residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
1
Planificar
4
Actuar
2
Hacer
3
Revisar
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
• Hacer.
•
•
•
•
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
• Implementar programas de capacitación.
• Manejar las operaciones y recursos del SGSI.
• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4
Actuar
1
Planificar
3
Revisar
2
Hacer
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
• Revisar.
• Procedimientos de monitoreo y revisión para:
•
•
•
•
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas
tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
• Revisar.
• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados
del monitoreo.
• Registrar las acciones y eventos con impacto sobre el
SGSI.
ISO 27001
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
1
Planificar
4
Actuar
3
Revisar
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Actuar.
• Implementar las mejoras identificadas en el
SGSI.
• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las
partes interesadas.
• Asegurar que las mejoras logren sus objetivos
señalados.
ISO 27001
Seguridad de la Información
SGSI
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisión de la dirección, para lograr la
mejora continua del SGSI.
ISO 27001
• Medir el desempeño del SGSI.
• Identificar mejoras en el SGSI a fin de implementarlas.
• Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
Estructura de la Documentación Requerida
ISO 27001
Nivel I
Nivel II
Nivel III
Nivel IV
Enfoque de la Gerencia
Política, Alcance,
Evaluación Riesgo
Manual de
Seguridad
Descripción de
procesos,
Quién hace qué y
cuándo
Procedimientos
Describe tareas
específicas y cómo se
realizan
Instrucciones de
Trabajo
Provee evidencia
objetiva de la
conformidad con SGSI
Registros
Factores Claves de Éxito en la
Implementación de un SGSI
ISO 27001
• Política de seguridad documentada y
alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta
gerencia.
• Entendimiento de los requerimientos de
seguridad, evaluación y gestión de los
riesgos asociados.
• Compatibilidad con la cultura
organizacional.
• Entrenamiento y educación.
Conclusiones
• Hoy en día las organizaciones
dependen en gran medida de su
tecnología y sus activos de
información.
• Por lo anterior, impera una protección
adecuada a las informaciones
importantes.
• Seguridad no es un producto, es un
proceso que debe ser administrado.
ISO 27001
Conclusiones
ISO 27001
• Nada es estático, la seguridad no es la
excepción. Mejora continua.
• Seguridad total no existe, pero sí existe
la garantía de calidad en un proceso de
seguridad.
Preguntas y Respuestas
ISO 27001