ISO/IEC 27001:2013. Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información. Oscar F.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "ISO/IEC 27001:2013. Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información. Oscar F."

Julián Blázquez Herrera
hace 8 años
Vistas:

1 ISO/IEC 27001:2013 Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información Oscar F. Giudice

2 ISO/IEC 27001:2013 Una mirada a los principales cambios del Sistema de Gestión de la Seguridad de la Información Oscar F. Giudice

3 Estructura de la Norma Común a todas las normas ISO Facilita la interpretación de distintas normas y la implantación conjunta Se alinea con el anexo SL de las directivas de ISO/IEC Ej: ISO 22301:2012 (gestión del continuidad del negocio) Se espera que las futuras versiones de ISO 9001 e ISO adopten esta estructura Oscar F. Giudice 3

directivas de ISO/IEC Ej: ISO 22301:2012 (gestión del continuidad del negocio) Se

4 Anexo SL La publicación del Anexo SL, sustituye a la Guía 83 El Anexo SL define la estructura y el formato común para todas las nuevas normas de sistemas de gestión ISO y revisiones de las normas existentes. No alterará los requisitos de las normas. Ayudará a normalizar los enfoques lingüísticos y de gestión. Oscar F. Giudice 4

ISO y revisiones de las normas existentes.

5 Anexo SL, estructura de alto nivel # Cláusula 1 Alcance 2 Referencias normativas 3 Términos y definiciones 4 Contexto de la organización 5 Liderazgo 6 Planificación 7 Apoyo 8 Operación 9 Evaluación del desempeño 10 Mejora Oscar F. Giudice 5

de la organización 5 Liderazgo 6 Planificación 7 Apoyo 8

6 Estructura de la Norma Desaparecen las definiciones existentes en la versión 2005 Garantiza la coherencia en los términos y definiciones de toda la familia Se eliminaron las irrelevantes Las relevantes se pasaron a la ISO/IEC Gestión del Riesgo alineada con ISO Oscar F. Giudice 6

toda la familia 27000 Se eliminaron las irrelevantes Las relevantes se

7 Estructura de la Norma Enfoque basado en procesos Se reconoce como un requisito importante la mejora continua y se posibilita el uso de otros modelos distintos al PDCA (Plan, Do, Check, Act) Se elimina la sección de la norma que hace referencia al enfoque basado en procesos. El modelo PDCA no se referencia explícitamente en la nueva norma, sin embargo, está allí como un modelo de mejora. Los diferentes elementos de PDCA se distribuyen dentro de la estructura de la norma. Oscar F. Giudice 7

referencia al enfoque basado en procesos.

8 Estructura de la Norma Nuevos criterios Da mayor importancia al cumplimiento de todos los requisitos, al momento de realizar la implementación completa del SGSI. El orden de aparición no es orden en que se deben implantar los requisitos. Focalizada en establecer objetivos, realizar seguimiento y mediciones. Compromiso de la dirección se centrado en el Liderazgo Oscar F. Giudice 8

El orden de aparición no es orden en que se deben implantar los requisitos.

9 Tabla de contenido I Introducción 2 Objeto 3 Referencias Normativas 4 SGSI 5 Responsabilidad de la dirección 6 Auditoría Interna 7 Revisión de la Dirección 8 Mejora Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 Operación 9 Evaluación de Desempeño 10 Mejora Oscar F. Giudice # 9

2013 1 Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5

10 Tabla de contenido I SGSI 4.1 General 4.2 Implementar y Operar 4.3 Documentar Introducción 2 Objeto 3 Referencias Normativas 4 Contexto de la Organización 5 Liderazgo 6 Planificación 7 Soporte 8 Operación 9 Evaluación de Desempeño 10 Mejora Oscar F. Giudice # 10

3 Documentar 2013 1 Introducción 2 Objeto 3 Referencias Normativas 4

11 Clausulas y Requisitos Se reorganiza el número de clausulas Se crean nuevas secciones Versión 2005 Versión 2013 Requisitos Clausulas De la 4 a la 8 De la 4 a la 10 Oscar F. Giudice 11

2005 Versión 2013 Requisitos 102 130 Clausulas

12 Dominios y Controles Los cambios en los controles siguen a la ISO/IEC 27002:2013 Controles: se mantienen 94, eliminados 39, se incorporan 20 Las organizaciones deben determinar los controles necesarios, para el tratamiento de riesgos. Afín de no olvidar ningún control importante, los controles seleccionados, deben compararse con el Anexo A. Versión 2005 Versión 2013 Dominios De A.5 a A.15 De A.5 a A.18 Controles Oscar F. Giudice 12

13 11 Dominios de Seguridad Dominios de Seguridad A.5 Políticas de seguridad de la información A.6 Organización de la seguridad de la información A.7 Gestión de activos (AI) A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Gestión de comunicaciones y operaciones A.11 Control de acceso (Lógico) A.12 Adquisición, desarrollo y mantenimiento de sistemas A.13 Gestión de incidentes de seguridad de información A.14 Gestión de la continuidad de negocio A.15 Conformidad Oscar F. Giudice 13

9 Seguridad física y del entorno A.10 Gestión de comunicaciones y operaciones A.11 Control de acceso (Lógico) A.

14 14 Dominios de Seguridad. Dominios de Seguridad A.5 Políticas de seguridad de la información A.6 Organización de la seguridad de la información A.7 Seguridad de los recursos humanos A.8 Gestión de activos A.9 Control de accesos A.10 Criptografía A.11 Seguridad física y ambiental A.12 Seguridad en las operaciones A.13 Seguridad en las comunicaciones A.14 Adquisición, desarrollo y mantenimiento de sistemas A.15 Relación con proveedores A.16 Gestión de incidentes de seguridad de la información A.17 Aspectos de SI dentro de la continuidad del negocio A.18 Conformidad Oscar F. Giudice 14

12 Seguridad en las operaciones A.13 Seguridad en las comunicaciones A.14 Adquisición, desarrollo y mantenimiento de sistemas A.

15 Conclusiones Facilita la integración de Sistemas de Gestión Aparece un vocabulario homogéneo Facilita la auditoría Mayor compromiso de la dirección liderazgo del proceso Mejora en la gestión de riegos (Gestión de Riesgos Estratégica) Oscar F. Giudice 15

compromiso de la dirección liderazgo del proceso Mejora en la

16 ISO/IEC 27001:2013 para Enfrentar la ciber-delincuencia y proteger el negocio. Recuperarse de desastres Minimización del riesgo al que se ve expuesta la información Mejorar el gobierno corporativo Reduciendo la exposición financiera resultante de fallas en las TICs. Alineamiento la Gestión de Riesgos de TI con las Gestión de Riesgos Empresarial. Oscar F. Giudice 16

Mejorar el gobierno corporativo Reduciendo la exposición financiera resultante de fallas en

17 Oscar Giudice TecnoIntegración Actividad Actual Áreas de expertise Países de operación Asociaciones Más de 30 años de experiencia en electro-tecnologías: Informática, Telecomunicaciones, Electrónica Responsable de Infraestructura TIC en DINAMA - MVOTMA (Dirección Nacional de Medio Ambiente del Uruguay) Director de TecnoIntegración Seguridad de la Información Bussines Continuity & Disaster recovery Infraestructura TICs Argentina y Uruguay Director CCAT-Lat (asociación civil internacional sin fines de lucro) Vicepresidente ISSA Capítulo Uruguay ( ) (Information Systems Security Association) Miembro del Comité de Seguridad de la Información Instituto Uruguayo de Normas Técnicas (UNIT) IEEE Sección Argentina al 1992 (Institute of Electrical and Electronics Engineers) COPITEC Matrícula Nro. T-2479 ogiudice@ccat-lat.org

recovery Infraestructura TICs Argentina y Uruguay Director CCAT-Lat (asociación civil internacional sin fines de lucro) Vicepresidente ISSA Capítulo Uruguay (2012-2014) (Information Systems Security

Documentos relacionados

Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma?

Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma? Norma ISO 9001:2015 Cuáles son los cambios presentados en la actualización de la Norma? Norma ISO 9001:2015 Contenido Introducción Perspectiva de la norma ISO 9001 Cambios de la norma ISO 9001 Cambios