Seguridad De La Información
Temario
Historia de la norma
¿Porqué ISO-27001? Breves conceptos ¿Estándares? Tendencias en España Tendencias Internacionales Conclusiones
Breve historial de la norma
Tiene sus orígenes desde los 90`en el BS-7799 Se transforma en ISO-17799. En el 2004 AENOR UNE 71502
SGSI.
Especificaciones para los
Octubre2005
ISO-27001:2005 ISO/UNE-27001
Septiembre 2007 AENOR
Situación Actual (Familia 27000)
Publicadas 2005 - ISO-27001 (Certificable) 2006 - ISO 27006 (regula los organismos de certificación, alineada con 17021) 2007 - ISO-27002 (guía de controles, Ex 17799) Sin publicar aún 27003 (Ayuda para la implantacón SGSI) 27004 (Métricas) 27005 (Riesgos) 27007 (requisitos de auditoría de un SGSI)27011 (Sector TICs) 27031 (Plan de Continuidad de Negocio) 27032 (Ciberseguridad) 27033 (seguridad en redes, sobre la base de 18028) 27034 (Seguridad en las aplicaciones)
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos ¿Estándares? Tendencias en España Tendencias Internacionales Conclusiones
¿Porqué ISO-27001?
Por primera vez ISO, homogeneiza sus familias (GESTIÓN). LaSeguridad deja de ser sólo una cuestión técnica. Implica a todos los niveles de la organización. Introduce el Análisis de Riesgo y el SGSI. El conjunto de controles (133), no deja nada librado al azar. Ha tenido acogida y apoyo internacional (1ª vez en seguridad). Pone/demuestra “Calidad” en la seguridad de la Información. Aparece en un momento clave de la industria. RECUERDEN: Marca un antes y undespués.
Temario
Historia de la norma ¿Porqué ISO-27001?
Breves conceptos
¿Estándares? Tendencias en España Tendencias Internacionales Conclusiones
Breves conceptos
• Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información” •Propone secuencias de acciones tendientes al: - Establecimiento - Implementación - Operación - Monitorización - Revisión - Mantenimiento - Mejora
SGSI
“Sistema de Gestión de la Seguridad de la Información”. El SGSI, es el punto fuerte de este estándar.
Breves conceptos
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
• Análisis de riego(AR) • SGSI • Controles
Breves conceptos (Análisis de riesgo)
Puede ser desarrollado con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos.
• • • • El impacto que podría ocasionar un problema sobre cada uno. Conjunto de acciones quepueden realizarse (agrupadas). Propuesta varios cursos de acción posibles (Máx, inter1/2s, mín). Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar(…..o en definitiva a pagar…..).
Breves conceptos (SGSI)
En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Punto 4.1. Requerimientos generales: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado SGSI en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, elproceso está basado en el modelo PDCA.
PUNTOS DE LA NORMA (Relativos al SGSI) 4. Sistema de Gestión de la Seguridad de la Información (SGSI) 5. Responsabilidades de la Dirección (Compromiso, gestión y provisión recursos, concienciación y formación) 6 Auditoría Interna del SGSI (Documentos, planificación, metodología, acciones) 7. Revisión de SGSI por parte de la Dirección 8. Mejora de SGSI...
Regístrate para leer el documento completo.