Maestría en Consultoría Empresarial

UES

Introducción ISO 27001Introducción a los Sistemas de Gestión de Seguridad de la Información.

Ernesto Alexander Calderóncalderonperaza@gmail.com

UESMAECE

Contenido

Concepto SGSI1

ISO 27000

Controles

Otras Opciones

2

3

4

UESMAECE

Aclaración

La actual presentación esta orientada en un enfoque NO TECNICO. Dirigida a gerentes y tomadores de decisiones y no a personal especialista en tecnologías.

UESMAECE

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION

UESMAECE

Elementos vitales

Recurso Humano Es el elemento mas importante dentro de una organización

EmpresaU Organización

Información Es el segundo elemento mas importante, se considera el principal activo de la organización

UESMAECE

INFORMACION

En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

• Fuente: es.Wikipedia.org

UESMAECE

INFORMATICA

La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando sistemas computacionales, generalmente implementados como dispositivos electrónicos.

Procesamiento automático de la información.

• Fuente es.Wikipedia.org

UES

INFORMACION EMPRESARIAL

UESMAECE

Riesgos de la información

Peligro

Puertos AbiertosPassword Cracking

Virus

Inexistencia de Backup

Denegacion de Servicios

KeyLoggin

UESMAECE

SGSI

Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un procesos sistemático, documentado y conocido por la organización.

UESMAECE

ISO 27000

Conjunto de estándares desarrollados, o en fase de desarrollo.

Proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, publica o privada, grande o pequeña.

UESMAECE

ISO 27001

Estructura de reconocimiento internacional para la seguridad de la información

Proceso de Gestión para evaluar, implementar y mantener un SGSI

Comprensivo conjunto de controles de las mejores practicas de seguridad

Énfasis en la prevención La seguridad de la información es un proceso

de Gestión NO UN PROCESO TECNICO

UESMAECE

Beneficios ISO 27001

Protección de la información

Confidencialidad, socios, clientes proveedores

Adopción de un estándar mundial

Refuerzo de los procedimientos

Mejora de la conciencia de seguridad

Medición de los sucesos del control de la seguridad

UESMAECE

Estructura ISO 27001-2005

1. Alcance

2. Referencia Normativa

3. Términos y definiciones

4. Sistema de gestión de seguridad informática

5. Responsabilidad de la Gerencia

6. Auditorias internas SGSI

7. Revisión Gerencial SGSI

8. Mejoramiento del SGSI

UESMAECE

Modelo utilizado

Apartado 0.2 ISO 2001-2005

UESMAECE

ISO 27001-2005

Apartado 1.2 no es posible realizar una exclusión de ninguno de los requerimientos 4,5,6 y 8 cuando se declara conformidad con el estándar internacional.

Apartado 4.2.1 C, debe definir una metodologia para la evaluacion de riesgos

UESMAECE

Apartado 4.3.1 Documentacion del SGSI

Enunciados documentados de la politica SGSI Alcance SGSI Procedimientos y controles de soporte SGSI Descripcion de la metodologia de evaluacion de

riesgo. Reporte evaluacion de riesgo Plan de tratamiento de riesgo Procedimientos documentados necesarios Registros Requeridos

UESMAECE

Algunos controles

Perimetro de seguridad fisica

Control contra Software Malicioso

Seguridad en el Cableado

Eliminacion seguro de equipos

Respaldo de la informacion

Controles para la Red

Mensajes Electronicos

Comercio Electronico

UESMAECE

Series ISO 27000

27001 27003 27004 27005

Requerimien- tos SGSI

Guia paraImplemen-tacion

Medicion Adminis-tracion deriesgo

UES

Otras opciones utilizadas

Enterprise Security Assessment

UESMaestria en Consultoria Empresarial

Ernesto Calderon Peraza

CalderonPeraza@gmail.com

Twitter.com/calderonperaza