Wk 2012
Páginas: 12 (2959 palabras)
Publicado: 8 de enero de 2013
IMPLANTACIÓN DEL ISO 27001:2005
“SISTEMA DE GESTIÓN DE
SEGURIDAD DE INFORMACIÓN”
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestión de Seguridad de Información
Certificado IRCA (International Registered of Certified Auditors)
E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida
de manos criminales?
¿Los activos de su empresa
hansido inventariados y
tasados?
2
INFORMACIÓN
EN LA
EMPRESA
Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdió 2.4
billones de dólares por ataques computarizados en 1998
–más del triple que en 1996. No es sorprendente,
considerando que por día se transfieren electrónicamente 2
trillones de dólares, mucho de lo cual pasa através de
líneas que según el FBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrónicos, de acuerdo a la Cámara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniería social –consiguiendo
personas dedentro de las compañías para sacarles
contraseñas y claves de invitados. “Si te levantas a la
secretaria ganaste, dice Dill Dog”. (Famoso hacker).
3
INFORMACIÓN
EN LA
EMPRESA
El fraude celular no escapa a ninguna compañía telefónica
en el mundo. Telcel y Movilnet en el caso de Venezuela
afirman que en el año 1997 las pérdidas por concepto de
clonación se ubicaaron en 1,800 millonesde dólares, lo que
los ha impulsado a mejorar su sistema de gestión de
seguridad de información.
La clonación ocurre cuando los “clonadores” capturan la
transmisión de los números de identificación (ESN: número
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.
(Cielorojo/computación 19/01/04).
4
Lainformación en la empresa es uno de los más
importantes activos que se poseen.
INFORMACIÓN
EN LA
EMPRESA
Las organizaciones tienen que desarrollar mecanismos que
les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la información.
La información está sujeta a muchas amenazas, tanto de
índole interna como externa.
5
ISO 27001:2005
SISTEMA DEGESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
El nuevo estándar internacional, el ISO 27001:2005, está
orientado a establecer un sistema gerencial que permita
minimizar el riesgo y proteger la información en las
empresas, de amenazas externas o internas.
HISTORIA
DEL
ESTÁNDAR
BS 7799
E
ISO 17799
•Grupo de trabajo de la industria se establece
en 1993
•Código de práctica - 1993
•Britishstandard - 1995
•BS 7799 parte 2 - 1998
•BS 7799 parte 1 - 1998
•BS 7799 parte 1 y parte 2 revisada en 1999
•BS / ISO / IEC – 17799 - 2000
6
ISO 27001:2005SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
ISO / IEC 17799 : 2005
Código de práctica de seguridad en la gestión de la
información – Basado en BS 7799 – 1 : 2000.
.Recomendaciones para buenas prácticas
No puede ser utilizadopara certificación
ISO 27001:2005
Especificación para la gestión del sistema de seguridad
de información
.Es utilizado para la certificación
7
INFORMACIÓN
“La información es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente”.
ISO 17799:2005
8
¿QUÉ ES
SEGURIDAD DEINFORMACIÓN?
Seguridad de información es mucho más que establecer
“firewalls”, aplicar parches para corregir nuevas
vulnerabilidades en el sistema de software, o guardar en la
bóveda los “backups”.
Seguridad de información es determinar qué requiere ser
protegido y por qué, de qué debe ser protegido y cómo
protegerlo.
La seguridad de información se caracteriza por la preservación
de:
a)...
“SISTEMA DE GESTIÓN DE
SEGURIDAD DE INFORMACIÓN”
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestión de Seguridad de Información
Certificado IRCA (International Registered of Certified Auditors)
E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida
de manos criminales?
¿Los activos de su empresa
hansido inventariados y
tasados?
2
INFORMACIÓN
EN LA
EMPRESA
Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdió 2.4
billones de dólares por ataques computarizados en 1998
–más del triple que en 1996. No es sorprendente,
considerando que por día se transfieren electrónicamente 2
trillones de dólares, mucho de lo cual pasa através de
líneas que según el FBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrónicos, de acuerdo a la Cámara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniería social –consiguiendo
personas dedentro de las compañías para sacarles
contraseñas y claves de invitados. “Si te levantas a la
secretaria ganaste, dice Dill Dog”. (Famoso hacker).
3
INFORMACIÓN
EN LA
EMPRESA
El fraude celular no escapa a ninguna compañía telefónica
en el mundo. Telcel y Movilnet en el caso de Venezuela
afirman que en el año 1997 las pérdidas por concepto de
clonación se ubicaaron en 1,800 millonesde dólares, lo que
los ha impulsado a mejorar su sistema de gestión de
seguridad de información.
La clonación ocurre cuando los “clonadores” capturan la
transmisión de los números de identificación (ESN: número
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.
(Cielorojo/computación 19/01/04).
4
Lainformación en la empresa es uno de los más
importantes activos que se poseen.
INFORMACIÓN
EN LA
EMPRESA
Las organizaciones tienen que desarrollar mecanismos que
les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la información.
La información está sujeta a muchas amenazas, tanto de
índole interna como externa.
5
ISO 27001:2005
SISTEMA DEGESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
El nuevo estándar internacional, el ISO 27001:2005, está
orientado a establecer un sistema gerencial que permita
minimizar el riesgo y proteger la información en las
empresas, de amenazas externas o internas.
HISTORIA
DEL
ESTÁNDAR
BS 7799
E
ISO 17799
•Grupo de trabajo de la industria se establece
en 1993
•Código de práctica - 1993
•Britishstandard - 1995
•BS 7799 parte 2 - 1998
•BS 7799 parte 1 - 1998
•BS 7799 parte 1 y parte 2 revisada en 1999
•BS / ISO / IEC – 17799 - 2000
6
ISO 27001:2005SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
ISO / IEC 17799 : 2005
Código de práctica de seguridad en la gestión de la
información – Basado en BS 7799 – 1 : 2000.
.Recomendaciones para buenas prácticas
No puede ser utilizadopara certificación
ISO 27001:2005
Especificación para la gestión del sistema de seguridad
de información
.Es utilizado para la certificación
7
INFORMACIÓN
“La información es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente”.
ISO 17799:2005
8
¿QUÉ ES
SEGURIDAD DEINFORMACIÓN?
Seguridad de información es mucho más que establecer
“firewalls”, aplicar parches para corregir nuevas
vulnerabilidades en el sistema de software, o guardar en la
bóveda los “backups”.
Seguridad de información es determinar qué requiere ser
protegido y por qué, de qué debe ser protegido y cómo
protegerlo.
La seguridad de información se caracteriza por la preservación
de:
a)...
Leer documento completo
Regístrate para leer el documento completo.