E N D
ISO 27001 Pablo Antonio Palacios Medinacelli
Introduccion La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus activos de información.
ISO 27001 • Publicada el 15 de Octubre de 2005. • Es la norma principal de la serie 27000 y contiene los requisitos del sistema de gestión de seguridad de la información (SGSI). • Controles
Ciclo de Deming: PCDA • Plan • Do • Check • Act
Usos • Uso dentro de las organizaciones para formular requerimientos y objetivos de seguridad. • Uso dentro de las organizaciones como una forma de asegurar que los riesgos de seguridad están gestionados efectivamente. • Uso de las organizaciones para proveer a los clientes información relevante acerca de la seguridad de información. • Uso de parte de la gerencia de la organización para determinar el estado de las actividades de la administración de la seguridad de la información.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) • Es un conjunto de políticas de administración de la información. • Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo. • Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas.
CONTROLES • Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.
Controles Política de seguridad. • Política de seguridad (Nivel político o estratégico de la organización) • Plan de Seguridad (Nivel de planeamiento o táctico)
Controles Organización de la información de seguridad. • Organización Interna • Partes externas
Controles Administración de recursos • - Responsabilidad en los recursos • - Clasificación de la información
Controles Seguridad de los recursos humanos. • Antes del empleo • -Durante el empleo • -Finalización o cambio de empleo
Controles Seguridad física y del entorno • - Áreas de seguridad • - Seguridad de elementos:
¿QUIÉNES LA UTILIZAN? • La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información. • También es muy eficaz para organizaciones que gestionan la información por encargo de otros.
BENEFICIOS • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Los riesgos y sus controles son continuamente revisados. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
IMPLEMENTACIÓN • Suele tener una duración entre 6 y 12 meses • En general, es recomendable la ayuda de consultores externos. • Seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información.