SlideShare una empresa de Scribd logo

Iso 27000

Descargar como ODP, PDF
K
krn kdna cadena

Todo lo que necesitas saber sobre ISO 27000

Educación
1 de 37
UNIVERSIDAD VERACRUZANA Catedrático: M.C. e ING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
¿QUE ES ISO? ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
Introduccion. • Algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
Definición ● Es un conjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
Origen. ● Desde 1901, y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
Desarrollo. • A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
• Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
Beneficios. • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
● Confianza de clientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
Desventajas. • Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
• Las normas en español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
Planificación • Definir el alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
¿Como adaptarse?
Aspectos clave. ● Compromiso y apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
Fundamentos de Seguridad Informática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
La serie ISO 27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
Familia ISO 27000
Objetivo de la familia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
DEFINICION DE LA FAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
● ISO/IEC 27003: No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
CERTIFICACION DE ISO 27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
¿Quién certifica a mi empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
En México quien certifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
DGN en México ● El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
CERTIFICACION DE EMPRESAS MEXICANAS, (quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
Empresas certificadas en México
¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
¿Cómo es el proceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
6) Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
¿Qué es un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ● Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com

Recomendados

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 

Recomendados

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
plackard
 
ISO 20000 Procesos de Resolución
ISO 20000 Procesos de ResoluciónISO 20000 Procesos de Resolución
ISO 20000 Procesos de Resolución
itService ®
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
vryancceall
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL
Carlos R. Adames B.
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBIT
luz milagros
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGS
Primala Sistema de Gestion
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
e-auditoria.org | Eduardo Ledesma & Asoc.
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
Armando Perez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
Pedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 

Más contenido relacionado

La actualidad más candente

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
vryancceall
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 

La actualidad más candente (20)

Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 20000 Procesos de Resolución
ISO 20000 Procesos de ResoluciónISO 20000 Procesos de Resolución
ISO 20000 Procesos de Resolución
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBIT
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGS
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
iso 27005
iso 27005iso 27005
iso 27005
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 

Similar a Iso 27000

Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
Pedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
pocketbox
 

Similar a Iso 27000 (20)

Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales Mexicanas
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
ii
iiii
ii
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas iso
Normas isoNormas iso
Normas iso
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
 

Último

Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
deimerhdz21
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 

Último (20)

2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 

Iso 27000

  • 1. UNIVERSIDAD VERACRUZANA Catedrático: M.C. e ING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
  • 2. ¿QUE ES ISO? ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
  • 3. ¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
  • 4. ¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
  • 5. Introduccion. • Algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
  • 6. Definición ● Es un conjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
  • 7. Origen. ● Desde 1901, y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
  • 8. Desarrollo. • A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 9. • Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
  • 10. Beneficios. • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
  • 11. ● Confianza de clientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
  • 12. Desventajas. • Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
  • 13. • Las normas en español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
  • 14.
  • 15. Planificación • Definir el alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
  • 16.
  • 18. Aspectos clave. ● Compromiso y apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
  • 19. Fundamentos de Seguridad Informática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
  • 20. La serie ISO 27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
  • 22. Objetivo de la familia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
  • 23. DEFINICION DE LA FAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
  • 24. ● ISO/IEC 27003: No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
  • 25. CERTIFICACION DE ISO 27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
  • 26. ¿Quién certifica a mi empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
  • 27. En México quien certifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
  • 28. DGN en México ● El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
  • 29. CERTIFICACION DE EMPRESAS MEXICANAS, (quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
  • 31. ¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
  • 32. ¿Cómo es el proceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • 33. 6) Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
  • 34. ¿Qué es un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
  • 35. Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
  • 36. ¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
  • 37. BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ● Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com