Presentacion Seguridad De La Informacion German Castro 15
Páginas: 5 (1119 palabras)
Publicado: 6 de junio de 2015
Gestión de Riesgos
ISO 27001/27005 & ISO 31000
Seguridad de la Información
Germán Castro Arévalo
CROSS BORDER TECHNOLOGY
Abril 15, 2013
Agenda
•
•
•
•
Introducción
Conceptos básicos sobre seguridad de la información
Gestión de riesgos (ISO 27001 / 27005 - ISO 31000)
Avance al interior del SENA
Introducción
Panorama actual
4
Panorama actual
Panorama actual
Que preocupa a lasOrganizaciones?
ESET Security Report Latinoamerica 2012
8
Panorama actual
Tendencias del mercado
Estándares y buenas prácticas adoptadas:
Encuesta Latinoamericana en Seguridad de la Información 2012
9
Conceptos básicos
Gestión en Seguridad de la Información
Gestión en Seguridad de la
Información
Confidencialidad
Integridad
Disponibilidad
Información
•Personas
•Tecnología
•Procesos•Infraestructura
•Políticas y normas
•Estándares
•Buenas prácticas
•Regulaciones
•Requerimientos
Modelo PHVA – ISO 27001
Mejoramiento Continuo del Sistema de Gestión
Partes
Interesadas
Alcance
Política
Evaluación de
Riesgos
Prep. SOA
Hacer
Planear
Establecer
el SGSI
Implementar y
Operar el SGSI
Requerimientos
y expectativas
de Seguridad
de la
Información
Acciones
Correctivas y
PreventivasMantener y
Mejorar el SGSI
Partes
Interesadas
Act.
Gestión
de Seguridad
de la
Información
Monitorear
el SGSI
Tratamiento de
Riesgos - Controles
Entrenamiento
Gest. Incidentes
Verificar
Auditorias Int.
Revisión Dir.
Informes
Gestión de Riesgos
ISO 27001 / ISO 27005
ISO 31000
Gestión de Riesgos - ISO 27001
Tecnología
Personas
Vulnerabilidades
Amenazas
ISO 31000
ISO 27005
Activos deInformación
Identificación, análisis y
valoración de riesgos
Servicios
Trtamiento de Riesgos – ISO 27001
Riesgos identificados y valorados
Alto
Tratamiento
de Riesgos
Medio - Alto
Nivel de Riesgo
Aceptable
Medio
Bajo - Medio
Implementar
Controles
Anexo A
ISO 27001
&
ISO 27002
Aceptar Riesgos
Bajo
Aprobación y Evaluación Continua
ISO 27001 Anexo A ISO 27002
Dominios
Objetivos de
controlControles
• Nivel superior
• 11
• Agrupación de los controles
• 39
• Detalle de los controles
• 133
ISO 27001 Anexo A ISO 27002
Dominio
• A.7
• Gestión de activos
• A.7.1 - Responsabilidad de los activos
Objetivo de
control
• Objetivo: Lograr y mantener la protección adecuada de los activos
organizacionales
• A.7.1.1 – Inventario de activos
Control
• Todos los activos deben estarclaramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes
ISO 31000
• Es parte integral de los
procesos de la
organización
• Es parte de la toma de
decisiones
• Aborda explÍcitamente
la incertidumbre
• Es sistemática,
estructurada y oportuna
• Se basa en la mejor
información disponible
• Está adaptado
Comando
compromiso
(4.2)
y
Establecimiento delcontexto (5.3)
Diseño del marco
de referencia para
la gestión del riesgo
(P)
Mejora continua
del marco de
referencia
(A)
Implementación
de la gestión del
riesgo
(H)
• Toma en cosideración a
los factores humanos y
culturales
• Es transparente e
inclusiva
• Es dinámica, reiterativa
y receptiva al cambio
• Facilita la mejora y
realza a la organización
Monitoreo
y
revisión del marco
(V)
Valoración delriesgo (5.4)
Identificación
riesgo (5.4.2)
del
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Tratamiento del riesgo
(5.5)
Monitoreo y revisión (5.6)
• Crear valor
Proceso
Marco de referencia
Comunicación y consulta (5.2)
Principios
ISO 27005
Proceso
ISO 31000
Proceso
ESTABLECIMIENTO
DEL CONTEXTO
VALORACIÓN DEL RIESGO
Establecimiento del
contexto (5.3)
ANÁLISIS DELRIESGO
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Estimación del riesgo
Evaluación del riesgo
No
Si
Tratamiento del riesgo
(5.5)
Tratamiento del riesgo
Si
No
ACEPTACIÓN DEL
RIESGO
Monitoreo y revisión (5.6)
Identificación del riesgo
(5.4.2)
Monitoreo y revisión (5.6)
Comunicación y consulta (5.2)
Valoración del riesgo (5.4)
Comunicación del riesgo
Identificación...
ISO 27001/27005 & ISO 31000
Seguridad de la Información
Germán Castro Arévalo
CROSS BORDER TECHNOLOGY
Abril 15, 2013
Agenda
•
•
•
•
Introducción
Conceptos básicos sobre seguridad de la información
Gestión de riesgos (ISO 27001 / 27005 - ISO 31000)
Avance al interior del SENA
Introducción
Panorama actual
4
Panorama actual
Panorama actual
Que preocupa a lasOrganizaciones?
ESET Security Report Latinoamerica 2012
8
Panorama actual
Tendencias del mercado
Estándares y buenas prácticas adoptadas:
Encuesta Latinoamericana en Seguridad de la Información 2012
9
Conceptos básicos
Gestión en Seguridad de la Información
Gestión en Seguridad de la
Información
Confidencialidad
Integridad
Disponibilidad
Información
•Personas
•Tecnología
•Procesos•Infraestructura
•Políticas y normas
•Estándares
•Buenas prácticas
•Regulaciones
•Requerimientos
Modelo PHVA – ISO 27001
Mejoramiento Continuo del Sistema de Gestión
Partes
Interesadas
Alcance
Política
Evaluación de
Riesgos
Prep. SOA
Hacer
Planear
Establecer
el SGSI
Implementar y
Operar el SGSI
Requerimientos
y expectativas
de Seguridad
de la
Información
Acciones
Correctivas y
PreventivasMantener y
Mejorar el SGSI
Partes
Interesadas
Act.
Gestión
de Seguridad
de la
Información
Monitorear
el SGSI
Tratamiento de
Riesgos - Controles
Entrenamiento
Gest. Incidentes
Verificar
Auditorias Int.
Revisión Dir.
Informes
Gestión de Riesgos
ISO 27001 / ISO 27005
ISO 31000
Gestión de Riesgos - ISO 27001
Tecnología
Personas
Vulnerabilidades
Amenazas
ISO 31000
ISO 27005
Activos deInformación
Identificación, análisis y
valoración de riesgos
Servicios
Trtamiento de Riesgos – ISO 27001
Riesgos identificados y valorados
Alto
Tratamiento
de Riesgos
Medio - Alto
Nivel de Riesgo
Aceptable
Medio
Bajo - Medio
Implementar
Controles
Anexo A
ISO 27001
&
ISO 27002
Aceptar Riesgos
Bajo
Aprobación y Evaluación Continua
ISO 27001 Anexo A ISO 27002
Dominios
Objetivos de
controlControles
• Nivel superior
• 11
• Agrupación de los controles
• 39
• Detalle de los controles
• 133
ISO 27001 Anexo A ISO 27002
Dominio
• A.7
• Gestión de activos
• A.7.1 - Responsabilidad de los activos
Objetivo de
control
• Objetivo: Lograr y mantener la protección adecuada de los activos
organizacionales
• A.7.1.1 – Inventario de activos
Control
• Todos los activos deben estarclaramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes
ISO 31000
• Es parte integral de los
procesos de la
organización
• Es parte de la toma de
decisiones
• Aborda explÍcitamente
la incertidumbre
• Es sistemática,
estructurada y oportuna
• Se basa en la mejor
información disponible
• Está adaptado
Comando
compromiso
(4.2)
y
Establecimiento delcontexto (5.3)
Diseño del marco
de referencia para
la gestión del riesgo
(P)
Mejora continua
del marco de
referencia
(A)
Implementación
de la gestión del
riesgo
(H)
• Toma en cosideración a
los factores humanos y
culturales
• Es transparente e
inclusiva
• Es dinámica, reiterativa
y receptiva al cambio
• Facilita la mejora y
realza a la organización
Monitoreo
y
revisión del marco
(V)
Valoración delriesgo (5.4)
Identificación
riesgo (5.4.2)
del
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Tratamiento del riesgo
(5.5)
Monitoreo y revisión (5.6)
• Crear valor
Proceso
Marco de referencia
Comunicación y consulta (5.2)
Principios
ISO 27005
Proceso
ISO 31000
Proceso
ESTABLECIMIENTO
DEL CONTEXTO
VALORACIÓN DEL RIESGO
Establecimiento del
contexto (5.3)
ANÁLISIS DELRIESGO
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Estimación del riesgo
Evaluación del riesgo
No
Si
Tratamiento del riesgo
(5.5)
Tratamiento del riesgo
Si
No
ACEPTACIÓN DEL
RIESGO
Monitoreo y revisión (5.6)
Identificación del riesgo
(5.4.2)
Monitoreo y revisión (5.6)
Comunicación y consulta (5.2)
Valoración del riesgo (5.4)
Comunicación del riesgo
Identificación...
Leer documento completo
Regístrate para leer el documento completo.