Implantacion Del ISO 27001 2005
Páginas: 12 (2847 palabras)
Publicado: 31 de agosto de 2015
IMPLANTACIÓN DEL ISO 27001:2005
“SISTEMA DE GESTIÓN DE
SEGURIDAD DE INFORMACIÓN”
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestión de Seguridad de Información
Certificado IRCA (International Registered of Certified Auditors)
E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida
de manos criminales?
¿Los activos de su empresa
han sidoinventariados y
tasados?
2
INFORMACIÓN
EN LA
EMPRESA
Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdió 2.4
billones de dólares por ataques computarizados en 1998
–más del triple que en 1996. No es sorprendente,
considerando que por día se transfieren electrónicamente 2
trillones de dólares, mucho de lo cual pasa a través de
líneas que según elFBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrónicos, de acuerdo a la Cámara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniería social –consiguiendo
personas de dentro de las compañías parasacarles
contraseñas y claves de invitados. “Si te levantas a la
secretaria ganaste, dice Dill Dog”. (Famoso hacker).
3
INFORMACIÓN
EN LA
EMPRESA
El fraude celular no escapa a ninguna compañía telefónica
en el mundo. Telcel y Movilnet en el caso de Venezuela
afirman que en el año 1997 las pérdidas por concepto de
clonación se ubicaaron en 1,800 millones de dólares, lo que
los ha impulsado a mejorarsu sistema de gestión de
seguridad de información.
La clonación ocurre cuando los “clonadores” capturan la
transmisión de los números de identificación (ESN: número
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.
(Cielorojo/computación 19/01/04).
4
La información en la empresa es uno de los más
importantes activosque se poseen.
INFORMACIÓN
EN LA
EMPRESA
Las organizaciones tienen que desarrollar mecanismos que
les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la información.
La información está sujeta a muchas amenazas, tanto de
índole interna como externa.
5
ISO 27001:2005
SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
El nuevo estándar internacional, el ISO27001:2005, está
orientado a establecer un sistema gerencial que permita
minimizar el riesgo y proteger la información en las
empresas, de amenazas externas o internas.
HISTORIA
DEL
ESTÁNDAR
BS 7799
E
ISO 17799
•Grupo de trabajo de la industria se establece
en 1993
•Código de práctica - 1993
•British standard - 1995
•BS 7799 parte 2 - 1998
•BS 7799 parte 1 - 1998
•BS 7799 parte 1 y parte 2 revisada en1999
•BS / ISO / IEC – 17799 - 2000
6
ISO 27001:2005SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
ISO / IEC 17799 : 2005
Código de práctica de seguridad en la gestión de la
información – Basado en BS 7799 – 1 : 2000.
.Recomendaciones para buenas prácticas
No puede ser utilizado para certificación
ISO 27001:2005
Especificación para la gestión del sistema de seguridad
de información.Es utilizado para la certificación
7
INFORMACIÓN
“La información es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente”.
ISO 17799:2005
8
¿QUÉ ES
SEGURIDAD DE
INFORMACIÓN?
Seguridad de información es mucho más que establecer
“firewalls”, aplicar parches para corregir nuevas
vulnerabilidades enel sistema de software, o guardar en la
bóveda los “backups”.
Seguridad de información es determinar qué requiere ser
protegido y por qué, de qué debe ser protegido y cómo
protegerlo.
La seguridad de información se caracteriza por la preservación
de:
a)
CONFIDENCIALIDAD : La información está protegida
de personas no autorizadas.
b)
INTEGRIDAD : La información está como se pretende,
sin...
“SISTEMA DE GESTIÓN DE
SEGURIDAD DE INFORMACIÓN”
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestión de Seguridad de Información
Certificado IRCA (International Registered of Certified Auditors)
E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida
de manos criminales?
¿Los activos de su empresa
han sidoinventariados y
tasados?
2
INFORMACIÓN
EN LA
EMPRESA
Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdió 2.4
billones de dólares por ataques computarizados en 1998
–más del triple que en 1996. No es sorprendente,
considerando que por día se transfieren electrónicamente 2
trillones de dólares, mucho de lo cual pasa a través de
líneas que según elFBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrónicos, de acuerdo a la Cámara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniería social –consiguiendo
personas de dentro de las compañías parasacarles
contraseñas y claves de invitados. “Si te levantas a la
secretaria ganaste, dice Dill Dog”. (Famoso hacker).
3
INFORMACIÓN
EN LA
EMPRESA
El fraude celular no escapa a ninguna compañía telefónica
en el mundo. Telcel y Movilnet en el caso de Venezuela
afirman que en el año 1997 las pérdidas por concepto de
clonación se ubicaaron en 1,800 millones de dólares, lo que
los ha impulsado a mejorarsu sistema de gestión de
seguridad de información.
La clonación ocurre cuando los “clonadores” capturan la
transmisión de los números de identificación (ESN: número
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.
(Cielorojo/computación 19/01/04).
4
La información en la empresa es uno de los más
importantes activosque se poseen.
INFORMACIÓN
EN LA
EMPRESA
Las organizaciones tienen que desarrollar mecanismos que
les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la información.
La información está sujeta a muchas amenazas, tanto de
índole interna como externa.
5
ISO 27001:2005
SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
El nuevo estándar internacional, el ISO27001:2005, está
orientado a establecer un sistema gerencial que permita
minimizar el riesgo y proteger la información en las
empresas, de amenazas externas o internas.
HISTORIA
DEL
ESTÁNDAR
BS 7799
E
ISO 17799
•Grupo de trabajo de la industria se establece
en 1993
•Código de práctica - 1993
•British standard - 1995
•BS 7799 parte 2 - 1998
•BS 7799 parte 1 - 1998
•BS 7799 parte 1 y parte 2 revisada en1999
•BS / ISO / IEC – 17799 - 2000
6
ISO 27001:2005SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
ISO / IEC 17799 : 2005
Código de práctica de seguridad en la gestión de la
información – Basado en BS 7799 – 1 : 2000.
.Recomendaciones para buenas prácticas
No puede ser utilizado para certificación
ISO 27001:2005
Especificación para la gestión del sistema de seguridad
de información.Es utilizado para la certificación
7
INFORMACIÓN
“La información es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente”.
ISO 17799:2005
8
¿QUÉ ES
SEGURIDAD DE
INFORMACIÓN?
Seguridad de información es mucho más que establecer
“firewalls”, aplicar parches para corregir nuevas
vulnerabilidades enel sistema de software, o guardar en la
bóveda los “backups”.
Seguridad de información es determinar qué requiere ser
protegido y por qué, de qué debe ser protegido y cómo
protegerlo.
La seguridad de información se caracteriza por la preservación
de:
a)
CONFIDENCIALIDAD : La información está protegida
de personas no autorizadas.
b)
INTEGRIDAD : La información está como se pretende,
sin...
Leer documento completo
Regístrate para leer el documento completo.