Академический Документы
Профессиональный Документы
Культура Документы
Logro
– Esto no real.
Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)
– ISACA: COBIT
– British Standards Institute: BSI
– International Standards Organization: Normas ISO
¿ Cómo establecer los requisitos ?
– 10 Áreas de Control
– 36 Objetivos de Control
– 127 Controles
ISO/IEC 27001 – ISO/IEC 17799
British Standard 7799 Parte 2 – Aporta conceptos de
implantación obligatorios para certificar: “...deben...”
– Requisitos para Sistemas de Gestión de Seguridad de la
información.
– Vinculada con la BS 7799-1 (ISO/IEC 17799)
– Proceso de Evaluación para Certificación.
– Obsoleta.
• ISO/IEC 27001.
– Basada en la BS 7799:2
• Versiones actuales:
– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
ISO/IEC 17799 : 2000
10 Áreas de Control
– Política de Seguridad
– Aspectos organizativos para la seguridad
– Clasificación y control de los activos
– Seguridad ligada al personal
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Desarrollo y mantenimiento de sistemas
– Gestión de continuidad del negocio
ISO/IEC 17799 : 2005
• 11 Áreas de Control
– Política de Seguridad
– Organización de la Seguridad de la Información
– Gestión de Activos
– Seguridad en los Recursos Humanos
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Adquisición, desarrollo y mantenimiento de sistemas
de información
ISO/IEC 17799 – 2 27001
• 2800 Empresas Certificadas a nivel mundial.
– 1800 en Japón.
– 415 Reino Unido
– 11en Brasil.
– 3 en Argentina.
ISO/IEC ISO/IEC
BSI
ISO/IEC 27001
(2005)
BS 7799 - 2
(Revisión 2013)
SGSI
El sistema de gestión de la seguridad de la información
(SGSI) es la parte del sistema de gestión de la empresa,
basado en un enfoque de riesgos del negocio, para:
– establecer,
– implementar,
– operar,
– monitorear,
– mantener y mejorar la seguridad de la información.
Incluye.
– Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recursos.
SGSI - Modelo P-H-V-A
SGSI
Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.
PlanificarEstablecer Mantener y
Actuar
el SGSI Mejorar el SGSI
Partes Partes
Interesadas Interesadas
Implementar y Monitorear
operar el SGSI el SGSI
Requisitos y Seguridad
expectativas Gestionada
Hacer Verificar
28
Planificar / Hacer / Verificar / Actuar
Planificar / Hacer / Verificar / Actuar
Define Política de Continuidad y
Aprueba Estrategia
Depende
Plan de
Continuidad
Operativa de
Negocio (BCP)
Plan de
Contingencia
Controla Auditoría Tecnológico
(DRP)
Audita
Desarrolla y actualiza
Desarrolla, mantiene
y realiza seguimiento al
SGSI
Oficial de Seguridad de la Define y confecciona
Información (OSI)
Plan Anual de
Seguridad de
la Información
Impulsa y coordina
Comité de Seguridad
Información Aprueba
Plan Anual de
Riesgo
Operacional
Preguntas