SEGURIDAD DE LA INFORMACIÓN UNE-ISO/IEC 27001

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SEGURIDAD DE LA INFORMACIÓN UNE-ISO/IEC 27001"

Natividad Contreras Carmona
hace 6 años
Vistas:

PUEDES RESPONDER A ALGUNAS DE ESTAS PREGUNTAS? Saben en cuanto tiempo y cómo recuperarías la información y la actividad de la empresa ante la pérdida de la información operativa?

2 PUEDES RESPONDER A ALGUNAS DE ESTAS PREGUNTAS? Saben en cuanto tiempo y cómo recuperarías la información y la actividad de la empresa ante la pérdida de la información operativa? Saben si los Smartphones de empresa contienen fotos de su organización, nuevos productos, planos, s y/o datos de los clientes? Tienen claves de acceso seguras? Utilizan sus empleados Whatsapp porque es más barato para comunicarse y pasar archivos? Utilizan redes externas, wifis, accesos a internet no seguros? Utilizan la nube (p.e. DROPBOX) para almacenar información pensando que está segura y accesible? Cuántas memorias USB tienen las personas de la empresa? Dónde se guardan o a quien se entregan con la información ya grabada y utilizada? Tienen claves de acceso? Se destruyen físicamente los discos duros de ordenadores/servidores que se retiran? Cómo se transportan y protegen los ordenadores portátiles? Están haciendo copias de seguridad de su información si están de viaje?

3 ÍNDICE SEGURIDAD DE LA Y la Seguridad de la Información? Dimensiones de la seguridad de la información Gestión de la seguridad de la información Qué es la?: Objetivos, Ventajas, Implantación

4 PERO. QUÉ ES? La Información es un conjunto de datos que poseen las personas, las empresas, las organizaciones,, que tienen valor para sus poseedores, cualquiera que sea su naturaleza. Es un activo, una propiedad y un bien en si mismo. La información es, por tanto, valiosa para todos sus propietarios. Debe ser respetada y salvaguardada. Como bien, es susceptible de deteriorarse o perderse, pero también de ser atacado, violado o robado. Algunos ejemplos son sus planos, información técnica de proyectos, listas de contactos o de clientes en cualquier soporte, grabaciones de audio y/o video de reuniones, charlas o visitas, notas sobre investigaciones, sistemas de gestión, planes estratégicos o de marketing, contratos, LA ES UNO DE LOS PRINCIPALES ACTIVOS DE LAS ORGANIZACIONES

5 Y LA SEGURIDAD DE LA? Se entiende por seguridad de la información todas aquellas medidas preventivas y correctivas de las personas, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. Seguridad de la información no solo es seguridad informática en la medida en que la información puede encontrarse en diferentes medios, formas y soportes (escrita, en imágenes, en papel, verbal,.). LA SALVAGUARDA DE LA ES CLAVE PARA ASEGURAR LA CONTINUIDAD Y EL DESARROLLO DEL NEGOCIO. A MAYOR VALOR DE LA, MAYORES RIESGOS DERIVADOS DE SU PERDIDA

6 DIMENSIONES DE LA SEGURIDAD DE LA Confidencialidad: propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados*. Es decir, asegurar que sólo quienes estén autorizados pueden acceder a la información. Integridad: propiedad de salvaguardar la exactitud y completitud de los activos*. Es decir, garantizar que la información y sus métodos de proceso son exactos y completos. Disponibilidad: propiedad de ser accesible y utilizable por una entidad autorizada*. Es decir, asegurar que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. *(ISO/IEC :2004)

7 Qué LEGISLACION protege y ayuda a salvaguardar la Protección de datos de carácter personal: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007. Propiedad intelectual: RD Legislativo 1/1996, Ley de Propiedad Intelectual, Ley 2/2001 Marcas, Ley 2/2011 Patentes, Ley 20/2003 Protección Jurídica Diseño Industrial Comercio electrónico: Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico. Administración Pública: Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

8 PERO. ES SUFICIENTE?

9 RIESGOS DE LAS ORGANIZACIONES Uno de cada 5 empleados deja a su familia y amigos usar los portátiles de empresa para acceder a Internet. Uno de cada 10 confiesa que baja algún tipo de contenido indebido mientras está en el trabajo. Dos de cada tres admiten tener conocimientos muy limitados en materia de seguridad de la información. Un 5% admite tener acceso a áreas de la red corporativa que no necesitan para desarrollar sus responsabilidades laborales. El 41% de las organizaciones admite no ser totalmente conscientes de los riesgos de la información, ni estar protegidas frente a los mismos. Fuente: McAffee

10 QUE PASA EN LAS EMPRESAS? Seguro que en su empresa ya se han implantado las siguientes medidas ante los riesgos de la seguridad de la información: Protecciones informáticas para redes (Cortafuegos, Firewall, utilización VPN.) Antivirus, antimalware, antispyware Contraseñas y gestión de permisos de usuarios. Copias de Seguridad, internas y externas. Control de Acceso de visitantes. Sistemas de Alarma y control de incendios. Pero hasta que punto fue Ud. capaz de responder de manera positiva las preguntas del inicio de la presentación?

11 QUÉ ES LA NORMA? Es una norma internacional que contiene los requisitos de un sistema de gestión de la seguridad de la información. Es aplicable a cualquier organización que disponga de datos e información sobre sus productos, tecnologías, mercados, trabajadores, pero especialmente a aquellas que: Disponen de datos de carácter personal de nivel ALTO, según LOPD (datos relativos a salud, ideología, religión, etc ). Disponen de información critica resultante de sus actividades de I+D+i, o de las de sus clientes. Manejan información sensible de cualquier tipo (de carácter económico, financiero, político, social.). Se puede integrar fácilmente a otros sistemas ISO 9001, ISO 14001, OSHAS

12 OBJETIVOS DE LOS SISTEMAS SEGÚN LA NORMA Identificación, valoración y priorización de activos de la información en la empresa. Análisis y valoración de los riesgos a los que se ven sometidos los activos de la información. Definición, adopción y/o revisión de las medidas de seguridad o controles aplicables para mitigar o eliminar los riesgos. Definición de un Plan de Cumplimiento legal de la legislación aplicable (LOPD, Propiedad Intelectual.) Definición y puesta en marcha de Política de Seguridad y procedimientos internos que permitan activar los protocolos de seguridad necesarios, todo ello de forma sistemática y sometido a revisión y mejora continua.

13 VENTAJAS PARA LA ORGANIZACIÓN DE UN SGSI SEGÚN Establecimiento de una metodología de gestión de seguridad de la información clara y bien estructurada, aprovechando requisitos comunes a otros sistemas ISO. Posibilidad de obtener un reconocimiento internacionalmente aceptado como estándar de SGSI. Contribuye a proyectar imagen de seguridad, confianza y reputación ante clientes, admon pública, personal interno y otros grupos de interés. Minimiza el riesgo de perdida, robo, deterioro, de los activos de información organizacionales Prepara a la organización para identificar sus vulnerabilidades en materia de riesgos para la información. Permite garantizar la continuidad de la organización, planificando las contingencias y recuperando su actividad de la manera más eficiente posible ante una eventual pérdida de los activos. La empresa garantiza el mejor nivel de protección posible, teniendo en cuenta la inversión en las herramientas adecuadas, necesarias y suficientes. Garantiza el cumplimiento de la legislación. Incrementa el nivel de concienciación de las personas de la empresa

14 IMPLANTACIÓN DE LA NORMA 9. ASESORAMIENTO EN LA CERTIFICACIÓN (en su caso) 8. AUDITORÍA DEL SISTEMA DE GESTION DE SI. 7. DOCUMENTACIÓN E INTEGRACION DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION 6. DEFINICION E IMPLANTACIÓN DE CONTROLES Y SEGURIDADES. DECLARACION DE APLICABILIDAD. 1. DEFINICIÓN DEL PLAN DE ACTUACIÓN 5. SELECCIÓN DE LA METODOLOGIA Y REALIZACION DEL ANALISIS Y CUANTIFICACIÓN DE LOS RIESGOS. 2. CONOCIMIENTO DE LA SITUACIÓN ACTUAL (Diagnóstico y requisitos legales) 3. DEFINICIÓN POLITICA DE SEGURIDAD Y RESPONSABLE DEL SGSI 4. IDENTIFICACION Y VALORACIÓN DE LOS ACTIVOS DE INFORMACION (infraestructuras, datos, HW, SW, sistemas, personas.)

15 IMPLANTACIÓN: características Definición e implantación del sistema: entre 6 y 12 meses DIFICULTADES RECURSOS La concienciación y sensibilización del personal es el elemento clave y el más complicado de abordar. Romper con la idea de que es sólo un tema informático. La Dirección debe tener un compromiso explícito. Se puede hacer un sistema complejo y poco comprensible si no se utilizan las herramientas de análisis adecuadas. Se puede llegar a dar más importancia a la herramienta de análisis, que al fin en si mismo. Fundamentalmente, se requiere dedicación de las personas de la organización en el trabajo de análisis de activos y riesgos. Es necesario designar un Responsable de Seguridad de la Información y un Responsable de cada activo. Puede requerir inversiones en seguridades, físicas y/o informáticas.

16 SERVICIOS SAYMA EN SEGURIDAD DE LA Análisis y valoración de los riesgos de los activos de la información existentes. Definición, adopción y/o revisión de las medidas de seguridad necesarias para mitigar o eliminar los riesgos. Definición de un Plan de Cumplimiento legal de la legislación aplicable relacionada con la seguridad de la información. Incorporación de aspectos relacionados con la seguridad de la información dentro de la metodología de otros sistemas de gestión existentes en la organización (ISO 9001, ISO 14001, OHSAS 18001, ). Implantación de un Sistema de Gestión de Seguridad de la Información según.

Documentos relacionados

Seguridad Informática en Bibliotecas

Seguridad Informática en Bibliotecas Téc. Cristina González Pagés Asesora Técnica y Editora Web Biblioteca Médica Nacional 26 de abril 2016 Seg. Informática VS Seg. de la Información La seguridad de la