ISO_27001_v011
Páginas: 16 (3857 palabras)
Publicado: 7 de octubre de 2015
Taller de Implementación
de la norma ISO 27001
Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática
Agenda
Sección 1: Principios fundamentales de la Seguridad
de la Información
Sección 2: Estándar y Marco Normativo
Sección 3: Implementación de la Norma ISO 27001
2
Sección
1
Principios fundamentales de laSeguridad de la Información
3
¿Qué es Seguridad?
• El término seguridad proviene
de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.
4
Información y Activo
• Información: Datossignificativos
• Activo: Cualquier bien que tiene valor para la
organización
5
Activo de Información
• Las organizaciones poseen información que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de
información.
6
Tipos de Activos de
Información
• Servicios: Procesos denegocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
Documento - Registro
• Documento: Información y su medio desoporte
• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas
8
Seguridad de la Información
La seguridad de la información es el conjunto de
medidas
preventivas
y
reactivas
de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de lamisma.
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
9
Seguridad de la Información
Abarca todo tipo de información
Impresa o escrita a mano
Grabada con asistencia técnica
Transmitida por correo electrónico o electrónicamente
Incluida en un sitio web
Mostrada en videos corporativos Mencionada durante las conversaciones
Etc.
10
Confidencialidad
• La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no
autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la
debida autorización.
11
Integridad
• Es la propiedad que busca mantener los datos libres
de modificacionesno autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12
Disponibilidad
• La disponibilidad es la característica, cualidad o
condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
• La disponibilidad es elacceso a la información y a los
sistemas por personas autorizadas en el momento
que así lo requieran.
13
Análisis de Riesgos
Vulnerabilidad
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
extrínsecas.
14
Análisis de Riesgos
Amenazas
• Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo deevento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.
15
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16
Impacto
Cambio adverso importante en el nivel de los objetivos
de negocios logrados
17
Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y...
de la norma ISO 27001
Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática
Agenda
Sección 1: Principios fundamentales de la Seguridad
de la Información
Sección 2: Estándar y Marco Normativo
Sección 3: Implementación de la Norma ISO 27001
2
Sección
1
Principios fundamentales de laSeguridad de la Información
3
¿Qué es Seguridad?
• El término seguridad proviene
de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.
4
Información y Activo
• Información: Datossignificativos
• Activo: Cualquier bien que tiene valor para la
organización
5
Activo de Información
• Las organizaciones poseen información que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de
información.
6
Tipos de Activos de
Información
• Servicios: Procesos denegocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
Documento - Registro
• Documento: Información y su medio desoporte
• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas
8
Seguridad de la Información
La seguridad de la información es el conjunto de
medidas
preventivas
y
reactivas
de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de lamisma.
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
9
Seguridad de la Información
Abarca todo tipo de información
Impresa o escrita a mano
Grabada con asistencia técnica
Transmitida por correo electrónico o electrónicamente
Incluida en un sitio web
Mostrada en videos corporativos Mencionada durante las conversaciones
Etc.
10
Confidencialidad
• La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no
autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la
debida autorización.
11
Integridad
• Es la propiedad que busca mantener los datos libres
de modificacionesno autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12
Disponibilidad
• La disponibilidad es la característica, cualidad o
condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
• La disponibilidad es elacceso a la información y a los
sistemas por personas autorizadas en el momento
que así lo requieran.
13
Análisis de Riesgos
Vulnerabilidad
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
extrínsecas.
14
Análisis de Riesgos
Amenazas
• Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo deevento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.
15
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16
Impacto
Cambio adverso importante en el nivel de los objetivos
de negocios logrados
17
Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y...
Leer documento completo
Regístrate para leer el documento completo.