SlideShare une entreprise Scribd logo

Norma iso 27001

Télécharger en tant que PPTX, PDF
Fabiola_Escoto
Fabiola_Escoto

se utliza para los SGSI en organizaciones

Formation
1  sur  27
Presentado por: Neyda Fabiola Escoto 20132008869
Introducción La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de: • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran. 1
1.1 Definición de un SGSI • Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
1.2 El ciclo de mejora continua • Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1). • Plan. Esta fase se corresponde con establecer el SGSI. • Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. • Check. Esta fase es la de monitorización y revisión del SGSI. • Act. Es la fase en la que se mantiene y mejora el SGSI.
1.3 Origen de la norma UNE-ISO/IEC 27001 • ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. • La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
2 Comprender la Norma UNE-ISO/IEC 27001 • La seguridad no es el resultado de un proceso, es un proceso en sí mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
2.1 Requisitos generales del sistema de gestión de la seguridad • Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. • Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
2.1 Requisitos generales del sistema de gestión de la seguridad • Lo que la norma reclama es que exista un sistema documentado:
2.1 Requisitos generales del sistema de gestión de la seguridad • El sistema constará de una documentación en varios niveles :
2.2 Establecimiento y gestión del SGSI • La norma establece una serie de requisitos, que se detallan a continuación (véase la figura 2.2). Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles.
2.2 Establecimiento y gestión del SGSI Cuando una empresa decide adaptarse a esta norma (véase la figura 2.3 sig. filmina), básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contará ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección
2.2 Establecimiento y gestión del SGSI
2.2 Establecimiento y gestión del SGSI Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Esta política tendrá en cuenta los requisitos del negocio, los contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar en esta fase inicial las necesidades de la organización. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización. Definición del enfoque del análisis de riesgos: Hay que decidir cómo se enfocará el análisis de riesgos. El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
2.2 Establecimiento y gestión del SGSI Cómo escoger la metodología del análisis de riesgos: Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrará sin problemas en el trabajo cotidiano Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. • Transferir el riesgo a un tercero. • Asumir el riesgo. • Eliminar el riesgo. Selección de controles: Norma UNE-ISO/IEC 27002. En caso necesario, se pueden añadir otros, pero esta lista de controles es un sólido punto de partida para elegir las medidas de seguridad apropiadas para el SGSI, asegurando que ningún aspecto o control importante se pasan por alto. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo.
2.2 Establecimiento y gestión del SGSI Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionado. • Los objetivos de control y los controles actualmente implementados. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check(comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
2.2 Establecimiento y gestión del SGSI Mantenimiento y mejora del SGSI: La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, sería un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo.
4. El inventario de activos. 5. Los procedimientos y controles de apoyo al SGSI. 6. El análisis del riesgo. 2.3. Requisitos de documentación Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. ◘ Por ello es necesario tener documentado: 1. La política y los objetivos del SGSI. 2. El alcance del SGSI. 3. Una descripción de la metodología de análisis del riesgo.
10. Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos.. 2.3. Requisitos de documentación ◘ Por ello es necesario tener documentado: 7. El plan de tratamiento del riesgo. 8. La declaración de aplicabilidad. 9. Los registros requeridos por la norma.
2.3. Requisitos de documentación Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información.
2.3. Requisitos de documentación • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La dirección debe comprometerse de manera evidente con el establecimiento, implementación, puesta en marcha, monitorización, revisión, mantenimiento y Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI sólo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Capítulo aparte merece la gestión de los recursos humanos. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI. 372
2.6 Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). Como cualquier otra actividad, requiere una planificación, así como verificar que se cumplen los objetivos y mantener los registros de educación, formación y cualificación de los empleados. Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización.
2.7 Auditorías internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías. Las auditorías internas sirven para determinar si los objetivos, los controles y los procedimientos son conformes con los requisitos aplicables (los de la propia norma, los de negocio, los legales, los de seguridad, etc.), así como el grado de implementación que tienen, si se están aplicando bien y si los resultados obtenidos son los esperados.
2.8 Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. ◘ Entradas a la revisión: Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorías y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes.
2.8 Revisión por la dirección ◘ Salidas de la revisión: Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios.
2.9 Mejora continua ◘ Acción correctiva: La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ◘ Acción preventiva: Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorías internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.

Recommandé

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
Nanet Martinez
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-1
1401201014052012
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBIT
George Aguilar
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
Carloz Kaztro
 

Recommandé

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
Nanet Martinez
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-1
1401201014052012
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBIT
George Aguilar
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
Carloz Kaztro
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
Ramiro Cid
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
ControlCase
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
Erick Kish, U.S. Commercial Service
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
kyaalena
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Guia de ponderacion
Guia de ponderacionGuia de ponderacion
Guia de ponderacion
Manuel Murcia
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
Chapter 1 Security Framework
Chapter 1 Security FrameworkChapter 1 Security Framework
Chapter 1 Security Framework
Karthikeyan Dhayalan
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Aplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseñoAplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseño
home
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
Jennyfer Cribas
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 

Contenu connexe

Tendances

AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Aplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseñoAplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseño
home
 

Tendances (20)

Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Magerit
MageritMagerit
Magerit
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Guia de ponderacion
Guia de ponderacionGuia de ponderacion
Guia de ponderacion
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Chapter 1 Security Framework
Chapter 1 Security FrameworkChapter 1 Security Framework
Chapter 1 Security Framework
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Aplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseñoAplicación métricas para evaluación diseño
Aplicación métricas para evaluación diseño
 

Similaire à Norma iso 27001

Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 

Similaire à Norma iso 27001 (20)

Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Sgsi
SgsiSgsi
Sgsi
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
SGSI
SGSISGSI
SGSI
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 

Dernier

ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
JAVIER SOLIS NOYOLA
 
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdfPROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
EduardoJosVargasCama1
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
amelia poma
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 

Dernier (20)

Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
Usos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicasUsos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicas
 
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdfPROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdfFICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
 
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Código Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de VenezuelaCódigo Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de Venezuela
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdf
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 

Norma iso 27001

  • 1. Presentado por: Neyda Fabiola Escoto 20132008869
  • 2. Introducción La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de: • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran. 1
  • 3. 1.1 Definición de un SGSI • Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
  • 4. 1.2 El ciclo de mejora continua • Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1). • Plan. Esta fase se corresponde con establecer el SGSI. • Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. • Check. Esta fase es la de monitorización y revisión del SGSI. • Act. Es la fase en la que se mantiene y mejora el SGSI.
  • 5. 1.3 Origen de la norma UNE-ISO/IEC 27001 • ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. • La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
  • 6. 2 Comprender la Norma UNE-ISO/IEC 27001 • La seguridad no es el resultado de un proceso, es un proceso en sí mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
  • 7. 2.1 Requisitos generales del sistema de gestión de la seguridad • Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. • Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
  • 8. 2.1 Requisitos generales del sistema de gestión de la seguridad • Lo que la norma reclama es que exista un sistema documentado:
  • 9. 2.1 Requisitos generales del sistema de gestión de la seguridad • El sistema constará de una documentación en varios niveles :
  • 10. 2.2 Establecimiento y gestión del SGSI • La norma establece una serie de requisitos, que se detallan a continuación (véase la figura 2.2). Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles.
  • 11. 2.2 Establecimiento y gestión del SGSI Cuando una empresa decide adaptarse a esta norma (véase la figura 2.3 sig. filmina), básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contará ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección
  • 12. 2.2 Establecimiento y gestión del SGSI
  • 13. 2.2 Establecimiento y gestión del SGSI Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Esta política tendrá en cuenta los requisitos del negocio, los contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar en esta fase inicial las necesidades de la organización. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización. Definición del enfoque del análisis de riesgos: Hay que decidir cómo se enfocará el análisis de riesgos. El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
  • 14. 2.2 Establecimiento y gestión del SGSI Cómo escoger la metodología del análisis de riesgos: Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrará sin problemas en el trabajo cotidiano Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. • Transferir el riesgo a un tercero. • Asumir el riesgo. • Eliminar el riesgo. Selección de controles: Norma UNE-ISO/IEC 27002. En caso necesario, se pueden añadir otros, pero esta lista de controles es un sólido punto de partida para elegir las medidas de seguridad apropiadas para el SGSI, asegurando que ningún aspecto o control importante se pasan por alto. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo.
  • 15. 2.2 Establecimiento y gestión del SGSI Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionado. • Los objetivos de control y los controles actualmente implementados. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check(comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
  • 16. 2.2 Establecimiento y gestión del SGSI Mantenimiento y mejora del SGSI: La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, sería un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo.
  • 17. 4. El inventario de activos. 5. Los procedimientos y controles de apoyo al SGSI. 6. El análisis del riesgo. 2.3. Requisitos de documentación Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. ◘ Por ello es necesario tener documentado: 1. La política y los objetivos del SGSI. 2. El alcance del SGSI. 3. Una descripción de la metodología de análisis del riesgo.
  • 18. 10. Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos.. 2.3. Requisitos de documentación ◘ Por ello es necesario tener documentado: 7. El plan de tratamiento del riesgo. 8. La declaración de aplicabilidad. 9. Los registros requeridos por la norma.
  • 19. 2.3. Requisitos de documentación Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información.
  • 20. 2.3. Requisitos de documentación • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
  • 21. 2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La dirección debe comprometerse de manera evidente con el establecimiento, implementación, puesta en marcha, monitorización, revisión, mantenimiento y Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
  • 22. 2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI sólo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Capítulo aparte merece la gestión de los recursos humanos. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI. 372
  • 23. 2.6 Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). Como cualquier otra actividad, requiere una planificación, así como verificar que se cumplen los objetivos y mantener los registros de educación, formación y cualificación de los empleados. Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización.
  • 24. 2.7 Auditorías internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías. Las auditorías internas sirven para determinar si los objetivos, los controles y los procedimientos son conformes con los requisitos aplicables (los de la propia norma, los de negocio, los legales, los de seguridad, etc.), así como el grado de implementación que tienen, si se están aplicando bien y si los resultados obtenidos son los esperados.
  • 25. 2.8 Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. ◘ Entradas a la revisión: Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorías y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes.
  • 26. 2.8 Revisión por la dirección ◘ Salidas de la revisión: Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios.
  • 27. 2.9 Mejora continua ◘ Acción correctiva: La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ◘ Acción preventiva: Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorías internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.