![Page 1: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/1.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SGSIPoniendo orden a la seguridad
Eduardo [email protected]
![Page 2: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/2.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Introducción
”La seguridad sin control puede no ser efectiva”
![Page 3: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/3.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grados de madurez
Grado 0. Sin preocupación por la seguridad Grado 1. Seguridad sin gestionar Grado 2. Seguridad algo gestionada Grado 3. Seguridad totalmente gestionada Grado 3+. Certificación ISO.
![Page 4: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/4.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 1
Promovido por técnicos Sin instrucción por parte de la dirección Los técnicos deciden qué proteger y cómo
hacerlo Implantando de controles técnicos de
protección
![Page 5: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/5.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 1
Antivirus de puesto Antivirus de correo Cortafuegos perimetral Cortafuegos internos IDS/IPS Antivirus perimetral, proxy ..
![Page 6: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/6.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 1
La seguridad no son sólo medidas técnicas La seguridad depende de las personas También son medidas organizativas
Las decisiones sobre la información a proteger no son técnicas
Se pueden pasar por alto controles importante
![Page 7: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/7.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 2. Seguridad algo gestionada
En busca de estándares
![Page 8: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/8.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
En búsqueda de estándares: La serie ISO 27000
ISO 27001. Sistema de Gestión de Seguridad de la Información
ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse en cuenta en una organización
ISO 27003. Guías de implantación de un SGSI ISO 27004. Métricas de seguridad ISO 27005. Gestión de riesgos ISO 27006. Acreditación de certificadores de SGSI ISO 27799. Adaptación de la ISO27002 para las
particularidades del sector sanitario
![Page 9: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/9.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
ISO 27002
ISO 27002 == ISO 17799 Seguridad de la información
La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo además abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
![Page 10: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/10.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
ISO 27002
Es una guía de buenas prácticas Describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información
No es certificable. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios
![Page 11: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/11.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Controles ISO 27002 Política de Seguridad
Aspectos organizativos de la Información
Gestión de Activos
Seguridad ligada a los recursos humanos
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de los Sistemas de Información
Gestión de Incidentes de Seguridad
Gestión de Continuidad del negocio
Cumplimiento normativo
![Page 12: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/12.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
5. Política de seguridad
Existencia de una política que guíe todas las medidas de seguridad
Política respaldada por la dirección Conocida por toda la organización Revisada y actualizada
![Page 13: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/13.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
6. Aspectos organizativos
Organización interna Coordinación de todas las actuaciones en materia
de seguridad. Comité. Definición de responsabilidades Acuerdos de confidencialidad Contactos con autoridades
Terceras partes Seguridad y riesgos en relaciones con clientes y
proveedores
![Page 14: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/14.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
7. Gestión de activos
Inventario y responsabilidad de activos Identificar propietarios Políticas de uso aceptable Clasificación de la información
![Page 15: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/15.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
8. Gestión de RRHH
Aceptación de políticas y acuerdos de confidencialidad
Formación, sensibilización Al finalizar el contrato
Devolución de activos Retirada de autorización
![Page 16: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/16.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
9. Seguridad física
Acceso físico a instalaciones Protección frente a amenazas del entorno Robos Suministro Cableado Destrucción/reutilización de equipos
![Page 17: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/17.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
10. Gestión de operaciones y comunicaciones
Gestión de cambios Aceptación del sistema Código malicioso Copias de seguridad Controles de seguridad en la red Gestión de soportes Monitorización. Registros
![Page 18: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/18.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
11. Control de acceso
Gestión de usuarios Gestión de privilegios Sistemas de identificación de usuarios Políticas de contraseñas Control de acceso y uso de la red y los
sistemas Segregación de redes Seguridad en movilidad
![Page 19: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/19.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
12. Compras, desarrollo y mantenimiento
Requisitos de seguridad de aplicaciones compradas o desarrolladas
Revisión de aplicaciones tras cambios Acceso al código fuente Controles criptográficos Control de vulnerabilidades técnicas
![Page 20: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/20.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
13. Sistema de gestión de incidentes
Funcionamiento del sistema de gestión de incidentes
![Page 21: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/21.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
14. Continuidad de negocio
Planes de contingencia en caso de catástrofe
![Page 22: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/22.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
15. Cumplimiento normativo
Cumplimiento de la legislación vigente LOPD LSSIC Propiedad intelectual
![Page 23: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/23.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
En qué se mejora con ISO27002
Se tiene una visión global de la seguridad Con el checklist es más dificil 'olvidarse' algo Se incorporan medidas organizativas Se implica a la dirección
![Page 24: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/24.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 3. Seguridad gestionada
El sistema de gestión de seguridad
![Page 25: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/25.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
¿Sabemos nuestro nivel de seguridad? ¿Es suficiente para la información a proteger o
demasido? ¿En qué nos basamos para hacer inversiones
en seguridad?
![Page 26: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/26.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
¿Son efectivas nuestras medidas de seguridad?
No disponemos de medidas del funcionamiento y evolución del sistema
¿Cómo saber si mejoramos o empeoramos?
![Page 27: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/27.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SGSI: ISO 27001
SGSI = Sistema de Gestión de Seguridad de la Información
ISMS = Information Security Management System
Herramienta para gestionar la seguridad Define un proceso sistemático, documentado y
conocido por toda la organización para gestionar la seguridad desde un enfoque de riesgo empresarial
![Page 28: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/28.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
La seguridad total no existe El objetivo de un SGSI es garantizar que los
riesgos de la seguridad sean conocidos y gestionados de una forma sistemática y eficiente
Es una herramienta para conocer nuestro nivel de riesgo y ayudarnos a minimizarlo a través de controles de seguridad o aceptarlo
![Page 29: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/29.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Bisagra con la dirección
Es una herramienta de gestión empresarial Habla el idioma de la dirección Similar a otros sistemas de gestión Compatible con ISO 9001 e ISO 14000 Propósito de alinear la seguridad a las
necesidades del negocio Aporta cuadro de mando con indicadores
![Page 30: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/30.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Enfoque top-down
Considera la información parte fundamental de la organización
La seguridad de la información es un requisito de negocio
Implicación de los altos mandos marcando las directrices
![Page 31: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/31.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Las bases de un SGSI
Definición del alcance Seguridad orientada a los procesos de negocio
y dirigida por la dirección. Comité de seguridad.
Gestión de riesgos Controles de seguridad Indicadores del funcionamiento del SGSI Proceso de mejora continuo
![Page 32: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/32.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Gestión del riesgo
![Page 33: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/33.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Identificación de activos
Es importante saber qué es lo que queremos proteger
Asignación de importancia o prioridades a los activos
Clasificación de la información
![Page 34: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/34.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Gestión de riesgos
Identificar los riesgos en base a: Activos Amenazas Vulnerabilidades Impacto
Riesgo: Pérdida que se produciría en nuestros activos en caso de que se materializase una amenaza aprovechando una vulnerabilidad
![Page 35: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/35.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Gestión del riesgo
![Page 36: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/36.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Gestión de Riesgos
Identificar los riesgos que pueden afectar a nuestros activos
Tratamiento sistemático del riesgo: Evitarlo: Suprimir las causas del riesgo Transferirlo: Outsourcing, seguros Reducirlo Asumirlo
Fijar los niveles de riesgo aceptables
![Page 37: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/37.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Selección de controles
Basándos en el alcance, análisis de riesgos y la política de seguridad se seleccionan los controles de seguridad
Declaración de aplicabilidad
![Page 38: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/38.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SGSI: Ciclo de vida
![Page 39: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/39.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Ciclo de vida
PLAN Evaluación de amenazas, riesgos e impacto
DO Se seleccionan e implementar los controles para
reducir el riesgo a un nivel aceptable
CHECK y ACT Recogida de evidencias e indicadores que
realimentan el sistema Proceso de mejora del sistema
![Page 40: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/40.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
PLAN: Establecer el SGSI
Definición del alcance Definir Política de Seguridad Definir Metodología de evaluación del riesgo
![Page 41: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/41.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
DO: Implementar y utilizar el SGSI
Seleccionar los controles en base al análisis de riesgos
Implantar los controles Definir sistema de métricas para saber la
eficacia de los controles Formación y concienciación del personal
![Page 42: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/42.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
CHECK: Monitorizar y revisar el SGSI
Comprobar la efectividad del SGSI y de los controles
Revisar periódicamente las evaluaciones del riesgo
Registrar acciones y eventos que puedan afectar a la efectividad del sistema
![Page 43: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/43.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
ACT: Mantener y mejorar
Implantar mejoras identificadas en el paso anterior
![Page 44: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/44.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Condiciones para el éxito
COMPROMISO DE LA DIRECCIÓN Definir política de seguridad Establecer responsabilidades Asignación de recursos Formación y concienciación
![Page 45: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/45.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Condiciones para el éxito
COMPROMISO DE LA DIRECCIÓN Definición de alcance apropiada Evaluación de riesgos adecuada Compromiso de mejora Organización y comunicación Concienciación del personal Integración del SGSI en la organización
![Page 46: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/46.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Pasos para implantar un SGSI
Formación del personal Convencer a la dirección Elegir un alcance reducido Crecer poco a poco
![Page 47: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/47.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Qué aporta el SGSI
Los controles de seguridad se han fijado de acuerdo a las prioridades del negocio y a los riesgos
El análisis de riesgos permite orientar las inversiones
Podemos mejorar Conocemos y aceptamos nuestro nivel de
seguridad
![Page 48: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/48.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Qué aporta el SGSI
Conocer la efectividad de nuestras medidas de seguridad
Aporta calidad a la seguridad Concienciación y compromiso
![Page 49: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/49.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Inconvenientes
Excesiva burocracia Sobrecarga de trabajo Esfuerzo continuo para mantenerlo en marcha Necesidad de recursos: esfuerzo, tiempo y
gasto
![Page 50: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/50.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Grado 3+. Certificación del SGSI
![Page 51: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/51.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
¿Utilidad de la certificación? Para empresas es clara:
Diferenciación Competitividad No exclusión
Para organizaciones RedIRIS: Recompensa al trabajo de implantación Imagen Reconocimiento del funcionamiento del sistema por
un externo
El objetivo debería ser la certificación
![Page 52: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/52.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
¿Certificación = Inmunidad?
La certificación es al sistema de gestión, no a la seguridad técnica.
No es garantía de inmunidad
![Page 53: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/53.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
¿Es viable implantar y certificarse?
Es dificil en una organización grande y con colectivos heterogeneos.
Es viable certificarse reduciendo el alcance
![Page 54: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/54.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SIRA
Seguridad Informática en la Red Académica
![Page 55: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/55.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SIRA
Objetivos Ayudar a las organizaciones a lograr el apoyo
institucional necesario Evaluación del nivel de seguridad en las
organizaciones Ayudar a que las organizaciones sepan cuáles sus
puntos débiles y cómo mejorar
![Page 56: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/56.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SIRA
Medios Encuesta de autoevaluación basada en ISO27002 Documentación de ayuda
Objetivo a largo plazo, crear una certificación 'al estilo RACE'
![Page 57: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/57.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SIRA: Participantes Universidad de Almería Universidad de Burgos Universidad de Castilla La Mancha CSIC Universidad de Murcia Universidad Pública de Navarra Universidad Pablo Olavide Universidad del País Vasco Universidad Politécnica de Cataluña – esCERT Universidad Politécnica de Cartagena Universidad de La Rioja Universidad Rovira i Virgili
![Page 58: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/58.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
SGSIPoniendo orden a la seguridad
Eduardo [email protected]
![Page 59: SGSI - RedIRISLa serie ISO 27000 ISO 27001. Sistema de Gestión de Seguridad de la Información ISO 27002. Conjunto de buenas prácticas y controles de seguridad que podrían tenerse](https://reader033.vdocumento.com/reader033/viewer/2022042504/5f6c973125ad7f2eaa12e679/html5/thumbnails/59.jpg)
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Más información
Normas ISO 27001, ISO 27002 www.iso27000.es