normal de iso/iec 27001

16
UNIVERSIDAD TECNOLOGICA DE SANTIAGO (UTESA) DEPARTAMENTO DE ARQUITECTURA E INGENIERIA NORMAS ISO/IEC 270001 1 Brayan Sánchez Rúbel Daniel Pérez Robert Alexander Valera Luis Manuel Heredia Jarlin Antigua Docente: Juan José Nerio Díaz SEGURIDAD INFORMATICA 10/Agosto/2015

Upload: brayan-a-sanchez

Post on 19-Aug-2015

161 views

Category:

Engineering


9 download

TRANSCRIPT

Page 1: Normal de ISO/IEC 27001

1

UNIVERSIDAD TECNOLOGICA DE SANTIAGO (UTESA)

DEPARTAMENTO DE ARQUITECTURA E INGENIERIA

NORMAS ISO/IEC 270001Brayan SánchezRúbel Daniel PérezRobert Alexander ValeraLuis Manuel HerediaJarlin Antigua

Docente: Juan José Nerio DíazSEGURIDAD INFORMATICA

10/Agosto/2015

Page 2: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

•DEFINICION DE ISO/IEC 27001

•HISTORIA Y ORIGEN DE ISO/IEC 27001

•CONTROLES DE SEGURIDAD DE ISO/IEC 27001

•REQUISITOS DE SEGURIDAD DE ISO/IEC 27001

•BENEFICIOS DE ISO/IEC 27001

•QUE HACE ISO/IEC 270001 POR LA SI.

•QUE OBTIENEN LOS CLIENTES

ÍNDICE

•QUE SIGNIFICA ESTAR CERTIFICADO EN ISO

•CERTIFICACION ISO EN REPUBLICA DOMINICANA

•EVOLUCION DE ISO EN REPUBLICA DOMINICANA

Page 3: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

DEFINICIÓN

Page 4: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

ISO/IEC 27001 es una norma de carácter internacional que tiene como objetivo garantizar que los controles que existen para salvaguardar la información de las partes interesadas son adecuados para proteger la confidencialidad, integridad y disponibilidad de la información.

ISO 27001

SU LOGO

DEFINICIÓN

Page 5: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

PUNTOS MAS IMPORTANTES

1901 – Normas “BS”: La British Standards Institution publica normas con el prefijo “BS” con carácter internacional. 

1995 – BS 7799-1:1995: Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. 

ORIGEN E HISTORIA

1998 – BS 7799-2:1999: Revisión de la anterior norma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable.. 

1999 – BS 7799-1:1999: Se revisa.

2000 – ISO/IEC 17799:2000: La Organización Internacional para la Estandarización tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios.

Page 6: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

PUNTOS MAS IMPORTANTES

2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora en Reino Unido y en otros países.

2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

•QUE HACE ISO/IEC 270001 POR LA SI.

2007 – ISO 17799: Se renombra y pasa a ser la ISO 27002:2005

2007 – ISO/IEC 27001:2007: Se publica la nueva versión.

2009 – Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

Page 7: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

CERTIFICA

sistemas de gestión de seguridad de la información. (SGSI)

son el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos.

QUE HACE ISO/IEC 270001 POR LA SI.

SGSI

DISPONIBLIDAD

INTEGRIDAD

CONFIDENCIALIDAD

GARANTIZANDO EN LOS DATOS

Page 8: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

EN SEGURIDAD INFORMATICA, ES LO QUE PERMITE QUE CADA ASPECTO QUE SE VALORE CON UN CIERTO RIESGO, QUEDE CUBIERTO Y AUDITABLE

¿QUE ES UN CONTROL?

CONTROLES DE SEGURIDAD

CONTROLES EXISTENTES

1. POLITICA DE SEGURIDAD Expresa una intencion de la manera que formalmente lo indica la empresa2. ASPECTOS ORGANIZATIVOSEstablece la administración de la seguridad de la información3. SEGURIDAD LIGADA RRHHEduca e informa al personal desde su ingreso sobre su situacion acerca de la seguridad

4. GESTION ACTIVOSLa organización tenga conocimientos precisos de los equipos que posee5. CONTROL DE ACCESO Controlar que no todos tengan acceso a la información6. CIFRADOUso de tecnicas criptograficas para la proteccion de la informacion7. SEGURIDAD FISICA Y

AMBIENTAL

Su objetivo es minimizar los riesgos de daños e interferencias a la informacion.8. SEGURIDAD OPERATIVAControla la existencia de los procedimientos de operaciones y desarrollo y mantenimiento de la documentacion

9. SEGURIDAD EN LAS TELECOMUNICACIONES

Asegura la proteccion que se comunica por redes telematicas

Page 9: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

Asegura la inclusion de controles de seguridad y validacion de datos en la adquisicion y desarrollo de los sistemas.

10. ADQUISICION, DESARROLLO Y MANTENIMIENTO DEL SISTEMA DE INFORMACION

11. RELACIONES CON SUMINISTRADORES

Mantiene la seguridad en servicios contratados en linea con terceros12. GESTION DE INCIDENTESQue los problemas presentados y debilidades sean notificadas.13. GESTION DE

CONTINUIDAD DE NEGOCIOPreserva la seguridad de la informacion durante la activacion y desarrollo del proceso

14. CUMPLIMIENTO Su objetivo es cumplir con las disposiciones, normativas y contratos establecidos a fin de evitar sanciones por incumplimiento

Page 10: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

•Política de Seguridad de la Información.

•Los controles que aseguran la protección del activo.

•Asegurar el conocimiento del usuario en temas y responsabilidades de Seguridad de la Información.

•Disposición para trasferir personal, cuando se apropiado.

•Capacitar los métodos, procedimientos y seguridad tanto para el usuario como para el administrador.

REQUISITOS DE SEGURIDAD

Page 11: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

REQUISITOS DE SEGURIDAD

•Especificar procesos de cambio en la gestión.

•Definir el criterio de comprobación de funcionamiento, control y reporte.

•Tener derecho de controlar y anular cualquier actividad relacionada con los activos de información de la empresa.

•Implicar a los subcontratados en los controles de seguridad.

•Política de control de acceso.

Page 12: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

BENEFICIOS DE LA CERTIFICACION ISO 27001

Confianza a los clientes

Ventaja competitiva

Integrar la gestión de la seguridad de la información con el resto de sistema de gestión implantados en la empresa

Eliminar los riesgos

Definir metas que aumenten la seguridad

Establecer procesos y actividades de revisión, mejora continua y auditoria de la gestión y tratamiento de la información

Page 13: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

¿QUE OBTIENEN LOS CLIENTES?

Una vez superado el proceso de Auditoría, si el sistema implantado se adecúa a los requisitos de la norma ISO/IEC 27001 Tecnologías de la Información. Sistema de Gestión de Seguridad de la Información (SGSI). Requisitos, la organización obtiene:

El Certificado AENOR de Sistemas de Gestión de Seguridad de la Información.

La licencia de uso de la marca Seguridad de la Información, de AENOR.

El Certificado IQNet, pasaporte para un acceso internacional de su certificación. Con él, su certificado AENOR quedará reconocido por las entidades de certificación líderes en el ámbito internacional.

Page 14: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

PASOS PARA CERTIFICARSE

Paso 1. Elección del organismo de certificación.

Se recomienda realizar una pequeña investigación para conocer qué opciones tienes antes de la selección de certificacion. Al realizar este análisis deberías poder responder:

- ¿Sus auditores tienen conocimiento de tu sector empresarial? ¿Operan en tu zona o región?

- ¿Cuál es el costo de la certificación?

- ¿Cuál es el prestigio que tiene en el mercado

Paso 2. Revisión de documentación.

Una vez elegido el organismo, el auditor enviado se reunirá con la gerencia para conocer los distintos procesos de la empresa. Revisará el manual de gestión de la calidad para verificar que el mismo cumpla con los requisitos que plantea la norma.

Paso 3. Auditoría de las instalaciones.

Una vez que se verificó la documentación, la empresa y el auditor deciden en conjunto el momento en el que se realizará la auditoría de las instalaciones. 

Paso 4. Informe de la auditoría.

Este informe se entrega a la gerencia, especificando cada una de las "no conformidades" con la norma, y clasificándolas de acuerdo a su grado de importancia.

Paso 5.  ¡Certificación! 

Pero una vez que las acciones correctivas ya fueron realizadas y existe conformidad, el organismo otorga la certificación. Este documento tiene por lo general una validez de tres años

Paso 6.  Auditorías de seguimiento.

Aunque el certificado es válido por el período total, deben realizarse auditorías periódicas de mantenimiento, 

Page 15: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

¿QUIEN CERTIFICA ISO/IEC 27001 EN REP. DOM.?

ROYAL CERT DOMINICANA

Royal Cent Dominicana Certifica en Normas de ISO que permiten demostrar se cumple con los requisitos técnicos establecido internacionalmente.

Es una excelente herramienta de mercadeo asegurar que los bienes y servicios se cumplan con el requisitos obligatorios de los cliente relacionados con la seguridad.

Page 16: Normal de ISO/IEC 27001

NORMA DE SEGURIDAD ISO 27001

•DEFINICION

•ORIGEN E HISTORIA

•CONTROLES DE SEGURIDAD

•REQUISITOS DE SEGURIDAD

•BENEFICIOS

•QUE HACE POR LA SEGURIDAD

•QUE OBTIENEN LOS CLIENTES

SEGURIDAD INFORMATICA

•ISO EN REP. DOM.

•EVOLUCION EN REP. DOM.

•ESTAR CERTIFICADO

EVOLUCION DE ISO/IEC 27001 EN REP. DOM.

MAYOR AUGE