Iso 17799

TALLER INTERNACIONAL
Seguridad de la Información
CERTIFICACION ISO27001



Material que forma parte del Track 1 de Diplomatura Anual en Seguridad de
la Información y Auditoría de Sistemas


2009
2009

2009



2009

SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION
SGSI
Vs

CERTIFICACION ISO27001

2009

Para que certificar???

2009

Que Proceso elegir???2009

Cuales son los
PRIMEROS PASOS???

2009

Cómo se implementa un
Programa de Gestión de
Seguridad de la Información
(ISMS)?

2009
2009

Porqué Implementar un ISMS / SISTEMA DE GESTION ISO?
Algunas consideraciones generales de porqué implementarlo:
•Para poder tener una Metodológica dedicada a la seguridad de
información reconocida internacionalmente
•Contar con un procesodefinido para Evaluar, Implementar,
Mantener y Administrar la seguridad de la información

2009
2009

•Diferenciarse en el mercado de otras organizaciones
•Satisfacer requerimientos de clientes, proveedores y Organismos de
Contralor
•Potenciales disminuciones de costos e inversiones
•FORMALIZAR las responsabilidades operativas y LEGALES de los
USUARIOS Internos y Externos de laInformación
•Cumplir con disposiciones legales (por ej. Leyes de Protección de
Datos, Privacidad, etc.)
•Tener una Metodología para poder ADMINISTRAR los RIESGOS

2009
2009

SGSI SISTEMA DE GESTION DE SEGURIDAD
DE LA INFORMACION
Está basado en el Modelo utilizado por las
NORMAS ISO en general:
Actuar

Verificar

2009
2009

Planificar

Hacer

Factores críticos del éxito
• política deseguridad, objetivos y actividades que
reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que
sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la
gerencia;
• un claro entendimiento de los requerimientos de
seguridad, la evaluación de riesgos y la
administración de los mismos;
• comunicación eficaz de los temasde seguridad a
todos los gerentes y empleados;

2009
2009

Factores críticos del éxito
• distribución de guías sobre políticas y estándares de
seguridad de la información a todos los empleados y
contratistas;
• instrucción y entrenamiento adecuados;
• un sistema integral y equilibrado de medición que se
utilice para evaluar el desempeño de la gestión de la
seguridad de lainformación y para brindar
sugerencias tendientes a mejorarlo.

2009
2009

Principales PASOS a seguir en la IMPLEMENTACION del
SGSI
Implementación del SGSI en 12 PASOS:
Para un entendimiento PRACTICO del Proceso de
IMPLEMENTACION del SGSI, se definen a continuación las
principales TAREAS a incluir en el PLAN de ACCION son:
1)Definir el alcance del SGSI desde el punto de vista de lascaracterísticas de la actividad, la organización, su ubicación,
sus activos y su tecnología
2)Definir una Política GENERAL del SGSI

2009
2009

3)Definir una METODOLOGIA para la CLASIFICACION de
los RIESGOS
4)Identificar y Valorar los riesgos
5)Identificar y definir ALTERNATIVAS para el tratamiento
de riesgos:
•Aplicar controles
•Aceptar los riesgos
•Evitar riesgos
•Transferir los riesgosasociados de las actividades a
otras partes (ejemplo a Compañías de Seguros)

2009
2009

6)Seleccionar objetivos de control y controles específicos a
IMPLMENTAR
El detalle de los controles se incluye en la Sección Dominios
de ISO 27002.
Cualquier EXCLUSION de controles que se considera como
necesaria para satisfacer el criterio de aceptación de riesgo, se
debe justificar y se debeproporcionar la evidencia. Cuando se
realizan exclusiones, no se podrá alegar conformidad con esta
norma a menos que dichas exclusiones no afecten la
capacidad de la organización, y/o su responsabilidad para
proveer seguridad de información cumpliendo con los
requisitos de seguridad determinados por la evaluación de
riesgo y los requisitos regulatorios aplicables.

2009
2009

7)Preparar...