Imagen o

fotografía

Tecnologías de Información – Técnicas de Seguridad –

Sistema de Gestión de Seguridad - Requerimientos

Estándar Internacional ISO / IEC 27001

Fecha: 19 – 12- 2014

¿Qué es ISO?

International Organization for Standardization

Organización Internacional para la Estandarización

ISO, es una red de estandarización nacional

compuesta por más de 160 países.

Los resultados finales aprobados por la ISO, son

publicados como estándares.

Desde 1947, han sido publicados alrededor de

17.000 estándares.

Familia ISO 27000Seguridad de la Información

ISO 27000

Vocabulario

ISO 27001

Requerimientos

SGSI

ISO 27002

Código de

Prácticas

ISO 27003

Guía de

Implementación

ISO 27004

Métricas

ISO 27005

Gestión de

Riesgos

ISO 27007 -

27008

Guías de Auditoría

Definición de Sistema de Gestión de

Seguridad SGSI

Un SGSI, es un enfoque sistemático para establecer,

implementar, operar, supervisar, revisar, mantener y

mejorar la seguridad de la información en las

organizaciones, para alcanzar los objetivos del negocio.

Está basado en la evaluación de riesgos

Análisis de requerimientos para la protección de activos

críticos de información y la aplicación apropiada de controles,

para asegurar dichos activos.

El SGSI consiste en políticas, procedimientos, guías,

actividades y recursos asociados.

Definición de Seguridad y Políticas de un SGSI

Política de

Seguridad

Política de

Seguridad de la

Información

Política de

Gestión de

Seguridad de la

Información

Política de

Control de

Acceso

Política de

Gestión de

Incidentes

Política de

Continuidad

de Negocio

Política de

Criptografía

Políticas Generales de alto nivel

• Líneas base para la gestión de

actividades de un sector:

contratación y suministro,

recursos humanos, ventas,

marketing, etc.

Políticas Específicas de alto nivel

• Guía específica sobre un tema

Políticas Detalladas

• Especifica los

requerimientos internos de

la política.

• Usualmente cubre una

audiencia específica u

objetivo específico

Acciones para hacer frente a los riesgos y

oportunidades

Determinar los riesgos y las oportunidades a enfrentar.

Establecer y mantener criterios de riesgos sobre la seguridad

de la información (Evaluación de riesgo, Impactos, Aceptación

de riesgo)

Seleccionar información apropiada y opciones de tratamiento

de riesgos de seguridad.

Determinar todos los controles necesarios para implementar el

tratamiento de riesgos de seguridad de la información.

Formular un plan de tratamiento de riesgos de seguridad.

Obtener la aprobación de los dueños de los riesgos sobre el

plan de tratamiento de riesgos de seguridad de la información

.

Activo crítico de información: CTI

Escenari

o de

Riesgo Amenaza Vulnerabilidad Impacto C I D

1

Hackeo por ex-

empleados

Sistema débil de autenticación; Sistema

es accesible vía web; no existe revisión

de privilegios asociados al control de

accesos; data no encriptada

El robo de identidad de un cliente

o de un empleado de la empresa X X

2

Errores de ingreso de

información por los

usuarios

Los campos del formulario no tienen

controles sobre el ingreso de

información

La base de datos contiene datos

corruptos X

3

Usuarios no siguen

procedimiento interno

de backup

Falta de un proceso de copia de

seguridad automatizada

Pérdida de información durante

un incidente de seguridad XX

Ejemplo de análisis de riesgo

Gracias por su atención.