Redes
ETN Medellín
Sistemas de Gestión
Seguridad Información
ISO 27001:2005
Diseño:
Ing. Jaime López Hernández
Auditor líder ISO 27001
Auditor líder ISO 20000
Auditor líder ISO 9000
Tutor Líder ISO ISMS 27001:2005 (SGS – IRCA)
Consultor e instructor
jaimelopez27001@gmail.com
311 876 1474
Marzo-2012
Sistemas de Gestión Seguridad Información ISO 27001:2005
Objetivo
Determinar la importancia (valor-Beneficios) de la gestión en la seguridad de la
información en la organización.
Proporcionar conocimiento en la gestión de riesgos y su relación con los controles
Brindar conocimiento en la interpretación de los requisitos de la norma ISO 27001.
Clarificar el enfoque basado en procesos y el PHVA
Generar cultura hacia la gestión con respecto a laseguridad de la información-
Exposiciones, aportes estudiantes, talleres y retroalimentación.
Sistemas de Gestión Seguridad Información ISO 27001:2005
La información critica de las organizaciones
son fácilmente expuestos al riesgo.
•
•
•
•
•
•
•
•
•
•
PCs o portátiles sin controles (Confidencialidad)
Sistemas IT bajo ataque (integridad)
SQL Injection (Integridad)Aplicaciones instaladas sin autorización
Servidores bajo ataques (hackers, spyware, spam, etc.)
Uso inapropiado de herramientas (Correo electrónico o la Web)
Planos, diseño s o reportes importantes con acceso a cualquier persona
Entrega de información a TERCEROS confidencial sin control
Requerimientos legales no contemplados
010&%110 - Papel
Proveedores sin controles
Catástrofes imprevistasSeguridad de la información
“Preservación de la confidencialidad, integridad y disponibilidad de la
información, además, puede involucrar otras propiedades tales como:
autenticidad, trazabilidad (Accountability), no repudio y fiabilidad.
Sistemas de Gestión Seguridad Información ISO 27001:2005
Norma ISO/IEC 27001
Modelo para:
• establecer,
• implementar,
• operar,
• hacerseguimiento,
• revisar,
• mantener y
• mejorar el SGSI.
Especifica requisitos para la implementar controles de
seguridad adaptados a las necesidades de las organizaciones
individuales o a parte de ellas.
El SGSI está diseñado para asegurar controles de seguridad
suficientes y proporcionales que
protejan los activos de información y
brinden confianza a las partes interesadas.
Sistemas deGestión Seguridad Información ISO 27001:2005
Introducción – Información a proteger (ACTIVOS)
Información
Software
Diseños, Bases de datos, archivos de datos,
contratos, documentación, manuales de usuario, etc.
Aplicación, sistema, herramientas, lenguajes de
programación , etc.
Activos
físicos
…
Servicios
…
Personas y
…
…
…
Sistemas de Gestión SeguridadInformación ISO 27001:2005
Introducción - Definición
Confidencialidad
Disponibilidad
Propiedad que determina la condición de que la
información no esté disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
Propiedad de que la información sea accesible y utilizable
por solicitud de una entidad autorizada.
Busca el acceso confiable y oportuno de la información.Integridad
Evitar modificaciones a los datos por personas autorizadas y
no autorizadas. Asegura que los datos o información sea
consistente tanto interna como externa.
Sistemas de Gestión Seguridad Información ISO 27001:2005
Taller:
¿Que información (Activos) se deben proteger en la organización?
______________________________________________________________________________________________________________________
___________________________________________________________
__________________________________________________________
¿Taller: Determinar algunos casos, en donde podamos evidenciar
las propiedades del SGSI en la organización?.
___________________________________________________________
___________________________________________________________...
Regístrate para leer el documento completo.