Índice Introducción Metodología de un SGSI según ISO 27001 Cambios / mejoras en ISO 27001 A.6 Mejoras en las relaciones con terceras partes A.8 Mejoras en el control de las personas A.13 Mejoras en el registro de incidentes / debilidades A.14 Mejoras en la gestión de continuidad de negocio Beneficios de implantación de un SGSI Conclusiones
Introducción Incidentes de seguridad: Quien es quien 30 % Incidentes Externos Otros Incidentes seguridad externos Virus Incidentes seguridad internos 70 % Incidentes internos Errores de usuario
Introducción Impacto de incidentes de seguridad en el negocio:
Introducción MANTENIMIENTO AUDITORÍAS F O R M A C I Ó N SISTEMA GESTIÓN Your DE LA SEGURIDAD DE LA INFORMACIÓN Network (SGSI) ISO 27001 SNOC HERRAMIENTAS LOPD / LSSI
Introducción BS 7799 / ISO 27001 Evolution Año 1999 Año 2000 2002 Año 2005 (Junio) Año 2006 (Enero) Año 2007 BS BS 7799 1 ISO 17799 (2000) ISO 17799 (2005) ISO 27002 ISO BS 7799 2 BS 7799-2:2002 BS 7799-2 (2005) ISO 27001 UNE 71502 + ISO 27004 Indicadores y Cuadros de mando (2007)
Metodología de un SGSI según ISO 27001 Fase 1 Definir la política Documento de la política Fase 2 Fase 3 Fase 4 Fase 5 Análisis Activos de Información Riesgos, amenazas y vulnerabilidades Gestión de riesgos desde el punto de vista organizacional Grado de aseguramiento requerido Sección 5 de la ISO 27001 objetos de control y controles Controles adicionales que no sean de ISO 27001 Definir el alcance del SGSI Análisis de riesgos Gestionar el riesgo Seleccionar objetos de control y controles a implementar Alcance del SGSI Análisis de riesgo Resultados y conclusiones Controles seleccionados Objetos de control y controles seleccionados Fase 6 Preparar una declaración de aplicabilidad Declaración de aplicabilidad Implementación
Cambios / Mejoras en ISO 27001 4.2.2 Implement and operate the ISMS 4.2.2 Implement and operate the ISMS Item d) Define how to measure the effectiveness has been added This is possibly the biggest change in that as well as implementing and operating the ISMS, it is now required to define how to measure the effectiveness of controls or groups of controls, and that it shall be specified how these measurements are to be used to assess control effectiveness to produce comparable and reproducible results. This could cause some major problems for clients.
A.6 Mejora en las relaciones con terceras partes
A.8 Mejoras en el control sobre las personas
A.8 Mejoras en el control sobre las personas
A.8 Mejoras en el control sobre las personas
A.13 Mejoras en el registro de incidentes / debilidades
A.13 Mejoras en el registro de incidentes / debilidades
A.14 Mejoras en la gestión de continuidad de negocio
A.14 Mejora en la gestión de continuidad de negocio
Beneficios de implantación de un SGSI Estructura e inversiones adecuadas, costo correcto Control y clasificación de activos Dirección de operaciones y comunicaciones Política de Seguridad Evaluación de riesgos internos y a terceros Gestión de las personas: Seguridad del personal Desarrollo y mantenimiento de sistemas Dirección de Planes de Contingencia Cumplimiento con la legislación
Conclusiones La Seguridad en TIC es un proceso que afecta a toda la organización. Las organizaciones deben definir una estrategia de seguridad basada en el negocio y no en la tecnología. La seguridad que proporciona un SGSI es permanente puesto que es un proceso, y no acciones puntuales. El enfoque de la Seguridad debe ser integral, si no puede conducir a una falsa sensación de seguridad y al fracaso La seguridad de la información se basa en las personas.
Objetivo: La protección (seguridad) de nuestro negocio (la información) mediante las personas COMPORTAMIENTO Aceptación Concienciado Formado Informado Proactivo TIEMPO