ISO-IETC 27000
Páginas: 5 (1033 palabras)
Publicado: 31 de octubre de 2014
Sistemas de
Gestión de
Seguridad de
la Información
Ana Cecilia Vargas
Alonso Castro Mattei
Indice
Conceptos básicos SGSI
ISO/IEC 27000
Implementaciones de ISO/IEC 27000
La seguridad del lado del usuario.
El SGSI de la UCR
Todos los días tenemos
riegos que atentan contra la
seguridad de la información:
Usuario
internos
Usuarios
externosDesastres
naturales
¿Qué podemos hacer para
proteger datos e información
en un entorno como este?
La respuesta es simple:
Se puede implementar un sistema de
gestión de seguridad de la
información.
¿Para qué sirve?
Conocer
Gestionar
Minimizar
Los riesgos que atentan contra la
seguridad de la información
¿Seguridad informática es lo
mismoque seguridad de la
información?
*Los activos de información provienen de distintas fuentes y se
almacenan en diversos soportes, como BD e inclusiv impresos.
¿Qué nos permite un SGSI?
Analizar y ordenar la estructura de los
sistema de información.
Establecer los procedimientos de
trabajo para mantener su seguridad.
Disponer de controles para medir la
eficacia delo establecido en el punto
anterior.
La idea es alcanzar un nivel de riesgo
menor que el soportado por la
institución, para preservar la
confidencialidad, integridad y
disponibilidad de la información.
¿Qué aspectos de seguridad
abarca un SGSI?
ISO / IEC
27000
Ana Cecilia Vargas
Alonso Castro Mattei
Normas ISO/IEC 27000
Contiene las mejores prácticas
recomendadas enseguridad de la
información para desarrollar,
implementar y mantener
especificaciones para los SGSI:
ISO/IEC 27000 - es un vocabulario
estandard para el SGSI. (en
desarrollo actualmente).
ISO/IEC 27001 - es la certificación
para las organizaciones. Especifica
los requisitos para la implantación
del SGSI. La más importante de la
familia. Adopta un enfoque de
gestión deriesgos y promueve la
mejora continua de los procesos.
Normas ISO/IEC 27000
ISO/IEC 27002 - es código de buenas
prácticas para la gestión de
seguridad de la información.
ISO/IEC 27003 - son directrices para
la implementación de un SGSI.
ISO/IEC 27004 - son métricas para la
gestión de seguridad de la
información.
ISO/IEC 27005 - trata la gestión de
riesgos enseguridad de la
información.
Normas ISO/IEC 27000
ISO/IEC 27006:2007 - Requisitos para
la acreditación de las organizaciones
que proporcionan la certificación de
los sistemas de gestión de la
seguridad de la información.
ISO/IEC 27007 - Es una guía para
auditar al SGSI.
ISO/IEC 27799:2008 - Es una guía
para implementar ISO/IEC 27002 en
la industria de la salud.
ISO/IEC 27035:2011 – Técnicas de
Seguridad – Gestión de Incidentes de
Seguridad: detección, reporte y
evaluación de incidentes de
seguridad y sus vulnerabilidades.
Relación con otras normas
Alcance de la Norma
ISO/IEC 27000
ISO 27001 propone un marco de
gestión de la seguridad de toda la
información de la empresa, incluso si
es información perteneciente al
propioconocimiento y experiencia de
las personas o sea tratada en
reuniones etc.
No debemos centrar la atención
solamente en los sistemas
informáticos por mucho que tengan
hoy en día una importancia mas que
relevante en el tratamiento de la
información ya que de otra forma,
podríamos dejar sin proteger
información que puede ser esencial
para la la actividad de la empresa.
Implementacióndel ISO/IEC
27000
Cortafuegos (firewall)
Certificados de seguridad
Conexiones cifradas (SSL)
Red Privada Virtual (VPN)
Trabajo colaborativo
Tanto la institución como el ISP, debe asegurar
que la información que viaja por la red y por los
equipos de comunicación que administra
lleguen a su destino seguros.
La seguridad
del lado de
los usuarios
de los
sistemas...
Gestión de
Seguridad de
la Información
Ana Cecilia Vargas
Alonso Castro Mattei
Indice
Conceptos básicos SGSI
ISO/IEC 27000
Implementaciones de ISO/IEC 27000
La seguridad del lado del usuario.
El SGSI de la UCR
Todos los días tenemos
riegos que atentan contra la
seguridad de la información:
Usuario
internos
Usuarios
externosDesastres
naturales
¿Qué podemos hacer para
proteger datos e información
en un entorno como este?
La respuesta es simple:
Se puede implementar un sistema de
gestión de seguridad de la
información.
¿Para qué sirve?
Conocer
Gestionar
Minimizar
Los riesgos que atentan contra la
seguridad de la información
¿Seguridad informática es lo
mismoque seguridad de la
información?
*Los activos de información provienen de distintas fuentes y se
almacenan en diversos soportes, como BD e inclusiv impresos.
¿Qué nos permite un SGSI?
Analizar y ordenar la estructura de los
sistema de información.
Establecer los procedimientos de
trabajo para mantener su seguridad.
Disponer de controles para medir la
eficacia delo establecido en el punto
anterior.
La idea es alcanzar un nivel de riesgo
menor que el soportado por la
institución, para preservar la
confidencialidad, integridad y
disponibilidad de la información.
¿Qué aspectos de seguridad
abarca un SGSI?
ISO / IEC
27000
Ana Cecilia Vargas
Alonso Castro Mattei
Normas ISO/IEC 27000
Contiene las mejores prácticas
recomendadas enseguridad de la
información para desarrollar,
implementar y mantener
especificaciones para los SGSI:
ISO/IEC 27000 - es un vocabulario
estandard para el SGSI. (en
desarrollo actualmente).
ISO/IEC 27001 - es la certificación
para las organizaciones. Especifica
los requisitos para la implantación
del SGSI. La más importante de la
familia. Adopta un enfoque de
gestión deriesgos y promueve la
mejora continua de los procesos.
Normas ISO/IEC 27000
ISO/IEC 27002 - es código de buenas
prácticas para la gestión de
seguridad de la información.
ISO/IEC 27003 - son directrices para
la implementación de un SGSI.
ISO/IEC 27004 - son métricas para la
gestión de seguridad de la
información.
ISO/IEC 27005 - trata la gestión de
riesgos enseguridad de la
información.
Normas ISO/IEC 27000
ISO/IEC 27006:2007 - Requisitos para
la acreditación de las organizaciones
que proporcionan la certificación de
los sistemas de gestión de la
seguridad de la información.
ISO/IEC 27007 - Es una guía para
auditar al SGSI.
ISO/IEC 27799:2008 - Es una guía
para implementar ISO/IEC 27002 en
la industria de la salud.
ISO/IEC 27035:2011 – Técnicas de
Seguridad – Gestión de Incidentes de
Seguridad: detección, reporte y
evaluación de incidentes de
seguridad y sus vulnerabilidades.
Relación con otras normas
Alcance de la Norma
ISO/IEC 27000
ISO 27001 propone un marco de
gestión de la seguridad de toda la
información de la empresa, incluso si
es información perteneciente al
propioconocimiento y experiencia de
las personas o sea tratada en
reuniones etc.
No debemos centrar la atención
solamente en los sistemas
informáticos por mucho que tengan
hoy en día una importancia mas que
relevante en el tratamiento de la
información ya que de otra forma,
podríamos dejar sin proteger
información que puede ser esencial
para la la actividad de la empresa.
Implementacióndel ISO/IEC
27000
Cortafuegos (firewall)
Certificados de seguridad
Conexiones cifradas (SSL)
Red Privada Virtual (VPN)
Trabajo colaborativo
Tanto la institución como el ISP, debe asegurar
que la información que viaja por la red y por los
equipos de comunicación que administra
lleguen a su destino seguros.
La seguridad
del lado de
los usuarios
de los
sistemas...
Leer documento completo
Regístrate para leer el documento completo.