ISO 27001: El estándar de seguridad de la información

Transcripción

1

2 Índice Introducción Metodología de un SGSI según ISO Cambios / mejoras en ISO A.6 Mejoras en las relaciones con terceras partes A.8 Mejoras en el control de las personas A.13 Mejoras en el registro de incidentes / debilidades A.14 Mejoras en la gestión de continuidad de negocio Beneficios de implantación de un SGSI Conclusiones

3 Introducción Incidentes de seguridad: Quien es quien 30 % Incidentes Externos Otros Incidentes seguridad externos Virus Incidentes seguridad internos 70 % Incidentes internos Errores de usuario

4 Introducción Impacto de incidentes de seguridad en el negocio:

5 Introducción MANTENIMIENTO AUDITORÍAS F O R M A C I Ó N SISTEMA GESTIÓN Your DE LA SEGURIDAD DE LA INFORMACIÓN Network (SGSI) ISO SNOC HERRAMIENTAS LOPD / LSSI

6 Introducción BS 7799 / ISO Evolution Año 1999 Año Año 2005 (Junio) Año 2006 (Enero) Año 2007 BS BS ISO (2000) ISO (2005) ISO ISO BS BS :2002 BS (2005) ISO UNE ISO Indicadores y Cuadros de mando (2007)

7 Metodología de un SGSI según ISO Fase 1 Definir la política Documento de la política Fase 2 Fase 3 Fase 4 Fase 5 Análisis Activos de Información Riesgos, amenazas y vulnerabilidades Gestión de riesgos desde el punto de vista organizacional Grado de aseguramiento requerido Sección 5 de la ISO objetos de control y controles Controles adicionales que no sean de ISO Definir el alcance del SGSI Análisis de riesgos Gestionar el riesgo Seleccionar objetos de control y controles a implementar Alcance del SGSI Análisis de riesgo Resultados y conclusiones Controles seleccionados Objetos de control y controles seleccionados Fase 6 Preparar una declaración de aplicabilidad Declaración de aplicabilidad Implementación

8 Cambios / Mejoras en ISO Implement and operate the ISMS Implement and operate the ISMS Item d) Define how to measure the effectiveness has been added This is possibly the biggest change in that as well as implementing and operating the ISMS, it is now required to define how to measure the effectiveness of controls or groups of controls, and that it shall be specified how these measurements are to be used to assess control effectiveness to produce comparable and reproducible results. This could cause some major problems for clients.

9 A.6 Mejora en las relaciones con terceras partes

10 A.8 Mejoras en el control sobre las personas

11 A.8 Mejoras en el control sobre las personas

12 A.8 Mejoras en el control sobre las personas

13 A.13 Mejoras en el registro de incidentes / debilidades

14 A.13 Mejoras en el registro de incidentes / debilidades

15 A.14 Mejoras en la gestión de continuidad de negocio

16 A.14 Mejora en la gestión de continuidad de negocio

17 Beneficios de implantación de un SGSI Estructura e inversiones adecuadas, costo correcto Control y clasificación de activos Dirección de operaciones y comunicaciones Política de Seguridad Evaluación de riesgos internos y a terceros Gestión de las personas: Seguridad del personal Desarrollo y mantenimiento de sistemas Dirección de Planes de Contingencia Cumplimiento con la legislación

18 Conclusiones La Seguridad en TIC es un proceso que afecta a toda la organización. Las organizaciones deben definir una estrategia de seguridad basada en el negocio y no en la tecnología. La seguridad que proporciona un SGSI es permanente puesto que es un proceso, y no acciones puntuales. El enfoque de la Seguridad debe ser integral, si no puede conducir a una falsa sensación de seguridad y al fracaso La seguridad de la información se basa en las personas.

19 Objetivo: La protección (seguridad) de nuestro negocio (la información) mediante las personas COMPORTAMIENTO Aceptación Concienciado Formado Informado Proactivo TIEMPO

20