SlideShare une entreprise Scribd logo

Norma iso 27000

Télécharger en tant que PPTX, PDF
Carlos Pineda Pinto
Carlos Pineda Pinto

Norma UNE-ISO/IEC 27001

Technologie
1  sur  20
Informática Administrativa Carlos Joel Pineda Pinto 20142001140
 Cuerpo principal de la Norma: • Sistema de gestión de la seguridad de la información (SGSI). • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema. La documentación consta de varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
Los requisitos antes del diseño de SGSI, se necesita saber: 1 Reglamentos 2 Recursos 3 controles 4 Negocios 5 Leyes 6 Iso 27001
1 Política de seguridad: que contendrá las directrices generales a las que se ajustara la organización en cuanto a seguridad. 2 Inventario de activos: que detallara los activos dentro del alcance del SGSI. 3 Análisis de riesgos: con los riesgos identificados basándose en la política de la organización. 4 Las decisiones de la dirección respecto a los riesgos. 5 Documento de aplicabilidad con la relación de los controles que son aplicables.
 Definir alcance  Definir política de seguridad  Identificar activos  Definir el enfoque de análisis  Identificar los riesgos  Analizar los riesgos  Tratar los riesgos
 Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Normalmente es mas practico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte mas sencillo.
 Decidir que criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Los empleados deben conocer esta política y adherirse a ella, incluso formalmente si es necesario.  SGSI este alineado con el resto de las estrategias, planes y modos de funcionar de la organización para que pueda integrarse en el día a día sin complicaciones y rindiendo resultados desde el principio.
 Es indispensable identificar que activos son los que soportan los procesos de la organización. Es decir, que hace falta para que la empresa funcione: los equipos, las aplicaciones, los informes, los expedientes, las bases de datos, las comunicaciones, etc. Junto con el responsable
El análisis de riesgos determinara las amenazas y vulnerabilidades de los activos de información previamente inventariados. Primeramente se elige el nivel de detalle con el que se va a llevar a cabo el análisis, enfoque de mínimo o detallado, y después el grado de formalidad, enfoque informal. o formal. Como estas tareas consumen muchos recursos, no se suele utilizar un enfoque detallado para todos los activos, solo para los mas notables.
 Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuales son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con mas recursos y esfuerzos en los temas que mas lo necesitan. En particular es necesario documentar en esta fase: • La política de seguridad, que además debe aprobarse por la dirección. • La metodología a seguir para realizar el análisis de riesgos.
1 Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. 2 Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente. 3 Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio 4 Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso.
La selección de controles es un punto critico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta que punto ese control va a ayudar a reducir el riesgo que hay y cual va a ser el coste de su implementación y mantenimiento.. Un SGSI no tiene necesariamente que tener cubiertos todos y cada uno de los riesgos a los que se esta expuesto
El valor del riesgo obtenido será el riesgo actual, en función del que se determina el riesgo asumible por la organización, y se deciden las nuevas estrategias y acciones para reducir los riesgos que estén por encima de ese valor. La dirección debe aprobar el valor de riesgo aceptable y asumir el riesgo residual.
• Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión.
Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Estas actividades se registraran en un plan de tratamiento del riesgo para medirlo. Esto implica establecer un conjunto de objetivos y métricas asociadas a los mismos para medir la eficacia.
• Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Actuara como foco de todos los aspectos de seguridad de la organización y sus responsabilidades cubrirán todas las funciones de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.
La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
Para efectuar la revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y, si no es así, averiguar las causas y buscar soluciones. Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar que el alcance continua siendo adecuado y que se han identificado mejoras en el proceso del SGSI.
La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, seria un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo. Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo.

Recommandé

JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Iso 27001
Iso 27001Iso 27001
Iso 27001irwin_45
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001Augusto Chevez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 

Recommandé

JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Iso 27001
Iso 27001Iso 27001
Iso 27001irwin_45
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001Augusto Chevez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001Marvin Joel Diaz Navarro
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : ResumenDavid Herrero
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)SENA810561
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.peponlondon
 
Supervisión Basada en Riesgos
Supervisión Basada en RiesgosSupervisión Basada en Riesgos
Supervisión Basada en RiesgosRamiro Alvarez Vasquez
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
NORMA UNE-ISO/IEC 27001
NORMA UNE-ISO/IEC 27001NORMA UNE-ISO/IEC 27001
NORMA UNE-ISO/IEC 27001Joselin Aguilar
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001Zenia Castro
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridadmangelescasta
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 

Contenu connexe

Tendances

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)SENA810561
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.peponlondon
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 

Tendances (20)

Politicas
PoliticasPoliticas
Politicas
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Supervisión Basada en Riesgos
Supervisión Basada en RiesgosSupervisión Basada en Riesgos
Supervisión Basada en Riesgos
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
NORMA UNE-ISO/IEC 27001
NORMA UNE-ISO/IEC 27001NORMA UNE-ISO/IEC 27001
NORMA UNE-ISO/IEC 27001
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 

Similaire à Norma iso 27000

Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestionjorge
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacionAlexander Cruz
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Gladisichau
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 

Similaire à Norma iso 27000 (19)

Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Irma iso
Irma isoIrma iso
Irma iso
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
As9100
As9100 As9100
As9100
 
Iso27001
Iso27001Iso27001
Iso27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Control interno
Control internoControl interno
Control interno
 

Dernier

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Dernier (13)

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Norma iso 27000

  • 1. Informática Administrativa Carlos Joel Pineda Pinto 20142001140
  • 2.  Cuerpo principal de la Norma: • Sistema de gestión de la seguridad de la información (SGSI). • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
  • 3. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema. La documentación consta de varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
  • 4. Los requisitos antes del diseño de SGSI, se necesita saber: 1 Reglamentos 2 Recursos 3 controles 4 Negocios 5 Leyes 6 Iso 27001
  • 5. 1 Política de seguridad: que contendrá las directrices generales a las que se ajustara la organización en cuanto a seguridad. 2 Inventario de activos: que detallara los activos dentro del alcance del SGSI. 3 Análisis de riesgos: con los riesgos identificados basándose en la política de la organización. 4 Las decisiones de la dirección respecto a los riesgos. 5 Documento de aplicabilidad con la relación de los controles que son aplicables.
  • 6.  Definir alcance  Definir política de seguridad  Identificar activos  Definir el enfoque de análisis  Identificar los riesgos  Analizar los riesgos  Tratar los riesgos
  • 7.  Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Normalmente es mas practico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte mas sencillo.
  • 8.  Decidir que criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Los empleados deben conocer esta política y adherirse a ella, incluso formalmente si es necesario.  SGSI este alineado con el resto de las estrategias, planes y modos de funcionar de la organización para que pueda integrarse en el día a día sin complicaciones y rindiendo resultados desde el principio.
  • 9.  Es indispensable identificar que activos son los que soportan los procesos de la organización. Es decir, que hace falta para que la empresa funcione: los equipos, las aplicaciones, los informes, los expedientes, las bases de datos, las comunicaciones, etc. Junto con el responsable
  • 10. El análisis de riesgos determinara las amenazas y vulnerabilidades de los activos de información previamente inventariados. Primeramente se elige el nivel de detalle con el que se va a llevar a cabo el análisis, enfoque de mínimo o detallado, y después el grado de formalidad, enfoque informal. o formal. Como estas tareas consumen muchos recursos, no se suele utilizar un enfoque detallado para todos los activos, solo para los mas notables.
  • 11.  Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuales son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con mas recursos y esfuerzos en los temas que mas lo necesitan. En particular es necesario documentar en esta fase: • La política de seguridad, que además debe aprobarse por la dirección. • La metodología a seguir para realizar el análisis de riesgos.
  • 12. 1 Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. 2 Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente. 3 Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio 4 Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso.
  • 13. La selección de controles es un punto critico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta que punto ese control va a ayudar a reducir el riesgo que hay y cual va a ser el coste de su implementación y mantenimiento.. Un SGSI no tiene necesariamente que tener cubiertos todos y cada uno de los riesgos a los que se esta expuesto
  • 14. El valor del riesgo obtenido será el riesgo actual, en función del que se determina el riesgo asumible por la organización, y se deciden las nuevas estrategias y acciones para reducir los riesgos que estén por encima de ese valor. La dirección debe aprobar el valor de riesgo aceptable y asumir el riesgo residual.
  • 15. • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión.
  • 16. Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Estas actividades se registraran en un plan de tratamiento del riesgo para medirlo. Esto implica establecer un conjunto de objetivos y métricas asociadas a los mismos para medir la eficacia.
  • 17. • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Actuara como foco de todos los aspectos de seguridad de la organización y sus responsabilidades cubrirán todas las funciones de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.
  • 18. La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
  • 19. Para efectuar la revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y, si no es así, averiguar las causas y buscar soluciones. Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar que el alcance continua siendo adecuado y que se han identificado mejoras en el proceso del SGSI.
  • 20. La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, seria un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo. Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo.