ISO 27001:2013 FastPath

Documentos relacionados
Gestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

Caso Práctico: Proyecto de Certificación ISO 27001

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

Integración de ISO 20000, ISO e ISO Juan Manuel Rosauro Director Telecomunicaciones y Calidad SANDETEL

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Sistemas de Gestión Energética ISO 50001

TENDENCIAS EN CONTINUIDAD DEL NEGOCIO

FORMACIÓN E-LEARNING. Curso Online de Adaptación a la nueva Norma ISO 14001:2015 en el Sector Alimentario

Sistema de Gestión Ambiental ISO 14001

II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

CURSO AUDITOR LÍDER ISO 27001

NORMA ISO/IEC :2018

Centro de Formación GAS NATURAL FENOSA. 27 de Octubre de Isaac Navarro CONTAZARA, S.A.

Escuela de Negocios AUDITOR LÍDER ISO 27001:2013

IBI UNIVERSIDAD BANCARIA DECRETO EJECUTIVO N 952 de 11 de Noviembre de 2016 Asociación Bancaria de Panamá

Sistemas de Gestión Energética. (Certificable junto con norma ISO 9001 e ISO 14001)

Partners. Media Partner

Curso ISO Lead Implementer

Curso ISO Lead Implementer

Consultoría e ingeniería de seguridad de la información

Norma Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero

IS O & IS O 38500

Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

1 10/10/12 Presentation TÜV Rheinland

Plan Director de Seguridad de la Información

Comparación de los requisitos de la ISO 14001:2004 y la ISO DIS 14001:2014

TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBE JAVIER ROBERTO AMAYA MADRID

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor

ISO 9001:2015 Checklist de Transición

SOLICITUD DE INFORMACIÓN PARA LA ELABORACION DEL ESTUDIO DE MERCADO

El papel de los profesionales ante la serie de normas ISO 30300

PLANES DE SEGURIDAD PARA LA EMPRESA

AEC Compliance Summit Ética, Calidad y Compliance

TALLER. BIA- Análisis de impacto en el negocio 2016 Riesgo Operativo, TI y Continuidad del Negocio

Alcances y Beneficios de la Normalización y las Certificaciones Internacionales. Mayo, 2013

CERTIFICACIÓN Compliance Management.

Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz

Consultoría e ingeniería de seguridad de la información

CALIDAD Y MEDIOAMBIENTE

Certificamos personas.

Introducción. Justificación

ING. JOHN RAFAEL REDONDO CAMPOS MATRICULA PROFESIONAL Nº (COPNIA)

Calendario de Cursos 2017

Norma IRAM-ISO/IEC 27001

OHSAS 18001:2007. Auditor Interno. G e s t i ó n d e S e g u r i d a d y S a l u d O c u p a c i o n a l

EL TRABAJO COMO AUDITOR LA CERTIFICACIÓN COMO SALIDA PROFESIONAL

Paquete Premium de documentos sobre ISO e ISO 22301

Ventajas de un Modelo de Madurez en Ciberseguridad

Sistemas de Gestión de Calidad- Requisitos

Preparándose para la continuidad de negocio y la seguridad de la información en El Salvador

seguridad y salud en el trabajo

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001

AUDITOR LÍDER ISO 27001

GESTIÓN DE CONTINUIDAD DE NEGOCIOS ISO AUDITOR LÍDER

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

DIPLOMATURA INTERNACIONAL MANAGER SEGURIDAD DE LA INFORMACION Martin Vila

Sistemas de gestión de seguridad y salud en el trabajo como herramienta en la prevención de riesgos laborales

ORGANIZACIÓN DE LA SEGURIDAD DE LA

LA CERTIFICACION DE LOS SISTEMAS DE GESTION. For the benefit of business and people

Sistema de Gestión de Seguridad de la Información ISO 27001

Curso Fundamentos de ISO 20000

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 IMPLEMENTADOR LÍDER

COBIT 4.1 CON EXAMEN DE CERTIFICACIÓN CURSO OFICIAL DE ISACA BETTSSY BOTERO GALLEGO ENTRENADORA AUTORIZADA DE ISACA 1/6

Auditor Líder ISO 22301

SOLICITUD DE CERTIFICACIÓN

Sistema de Gestión de Seguridad de la Información Esquema de Implantación. Cristina García Pérez

Tecnologías de la información

SERVICIOS DE IPR. Ofrecemos servicios de: Algunos de nuestros clientes certificados:

Av. del Pinar 152 Oficina 1008 Chacarilla del Estanque Surco, Lima Teléfono: (511) Fax: (511)

DATOS IDENTIFICATIVOS DEL DOCUMENTO

EXAMEN DE GRADO MODULO APOYO TECNOLOGICO GESTION DE LA CALIDAD

XXX Implementación ISO 27001:2013. Informe ejecutivo

Mejora de la calidad del proceso de desarrollo software y subvenciones a la certificación en ISO 15504

CURSO. Seguridad de la Información con Certificación de Auditor Interno ISO 27001:2013. Sistemas, redes, servidores

INFORME FINAL DE AUDITORÍA

Servicios de consultoría de Cumplimiento de Seguridad

AUDITOR INTERNO SISTEMAS INTEGRADOS:

CURSO OFICIAL IMPLEMENTADOR LÍDER ISO 22301

LA SEGURIDAD Y SALUD EN EL TRABAJO POR NORMA

SEGURIDAD, NUEVOS RETOS

ISO Sistemas de Gestión de la Energía. Hacia la optimización en el uso y consumo de la energía

Esquema Nacional de Seguridad 15/12/2011

Aplicación y Auditorías de un SGA: Norma ISO 14001:2004

Sistema de Gestión de la Calidad ISO 9001:2015

Curso Sistemas integrados de gestión

Quiénes somos: SGS Y NORMA 4

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 IMPLEMENTADOR LÍDER

Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO Seguridad de la Información

Principios de la Seguridad Informática

Asesoría para el diseño e implantación de un Sistema Integrado de Gestión según OHSAS

Actualización de la norma ISO 9001:2015

FORMACION ISO/IEC Fundamentos en Gestión de la Calidad de Servicios TI

Cumplimiento a través de la Certificación en Sistemas de Gestión Energética

ISO Sistemas de Gestión de Tecnología de la Información (TI)

Transcripción:

Su Seguridad es Nuestro Éxito ISO 27001:2013 FastPath C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com

Índice 1. Qué es FastPath 2. Historia ISO27001 3. Conceptos Clave: Certificador y Esquema 4. Porqué ISO27001? 5. Estructura de la Norma 6. Preparación de la implantación 7. Justificación de la implantación 8. Grandes Preguntas 9. Cómo implantarla? 10. Recomendaciones FastPath 11. El Anexo A 12. Sólo IT? 13. Roadmap 14. La Certificación 15. CSF

Qué es FastPath? Análisis de la norma y sus controles Aplicación de mejores prácticas de implantación Experiencia como consultores implantadores y auditores Implantación rápida, económica y con garantías de éxito

Historia ISO27001 y Anexo SL Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC * 27.001) Publicación 2004-2005, revisión 2013 ISO 27.001.2013 Anexo SL Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona Control de Proveedores (orientado a la nube) Contemplar la Continuidad del negocio propio como parte del negocio del cliente Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas Enfoque de riesgo mediante metodología Gestionar los eventos de seguridad Orientado a la mejora del sistema (de forma continua) 114 controles (ISO27002) 10 Dominios * Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union Telecommunication Standardization Sector)

Conceptos Clave, certificador y esquema Certificadores: Mundiales: BSI, TÜV, SGS Locales: AENOR, Applus Esquemas: ANAB, UKAS, AENOR Certificador (Auditor) Esquema Certificación Inglaterra Asia Commonwealth España EEUU

The Global Risk 2015 World Economic Forum Ponemon Institute Cost of Cybercrime 2015 ISO27001? No es sólo seguridad lógica => Hay que leerla bien No implica únicamente a IT La empresa que la cumple demuestra diligencia debida Entorno, es una acción identificada como mitigadora de riesgo

La Norma (10 dominios+1) 1,2,3 Objeto, Consulta y Definiciones 4. Contexto Alcance SGSI 5. Liderazgo Política Roles 6. Planificación Objetivos 7. Soporte Concienciación 8. Operación Riesgos 9. Evaluación del desempeño Seguimiento Auditoría Interna 10. Mejora No Conformidades Mejora Continua ANEXO A (ISO27002) Objetivo15 Proveedores 114 Controles (13 Capítulos)

Preparación Empezar por el final! Anexo A (ISO27002) Con el cumplimiento establecer madurez Análisis de riesgos (conocimiento) Con la madurez realizar roadmap Buscar el ok del cliente al roadmap CSF «No somos la NASA», «No me quiero certificar», «Esto para qué sirve», «Es muy caro», «No podré dedicar mi gente a esto que pides», «Ala!», «No es nuestra prioridad en este momento»

Para qué? Para: Estar Preparados en caso de ataque / contingencia Demostrar diligencia debida en caso de ataque Conseguir contratos (AAPP, Grandes...) Estrategia mitigadora de pérdidas!!! Perder menos en caso de perder No gastar Ganar Seriedad Ciclo de vida del trabajador,documento/activo Orden Roles de Seguridad Orden Conocernos a nosotros mismos (Riesgos) para actuar Orden, Seriedad, Diligencia (asimetría de la seguridad)

Las preguntas del millón Cómo implantarla? En qué orden? Por dónde empiezo? Qué es importante y qué no? Qué me pedirá el auditor? En cuánto tiempo? Cuánto me costará?

Cómo Implantarla? Como lo dice la Norma, así? 4.3 Alcance 7.3 Concienciación 8.2 Riesgos 4.4 SGSI 6.2 Objetivos 9.1 Seguimiento 10.2 Mejora Continua 5.2 Política 5.3 Roles 9.2 Auditoría Interna 10.1 No Conformi dades

Recomendación de Implantación 4.3 Alcance 6.2 Objetivos 8.2 Riesgos 5.2 Política Spónsor 5.3 Roles 4.4 SGSI 10.1 No Conformida des 9.1 Seguimiento Compromiso Directiva 7.3 Concienci ación 10.2 Mejora Continua 9,2 Auditoría Interna ANEXO A Empresa

Y el anexo A?

Sólo IT? Contacto con autoridades Trabajadores Partes Externas Proveedores Confidencialidad Control de Acceso Equipos Cambios Teletrabajo Información Código Malicioso Entorno seguro Backup Documentación Desarrollo Incidentes de Seguridad Continuidad Legislación Resto Medidas Seguridad Lógica Resto Medidas

Roadmap Mínimo 6 meses Sii (Alcance 1 site): Preauditoría hecha + Inversión HW aprobada Alcance Acotado (1-2 Servicios 1 site) Sponsor alineado y disponible (hits constantes) Equipo motivado (1consultor+1help dentro empresa) Ubicación en cliente o reuniones semanales de deploy Madurez mínima (1) Esquema en 3 rondas: 1ª Madurez 1-2 (6 meses) 2ª Madurez 2-3 (6 meses) 3ª Madurez 3 (y recertificación) PROYECTO DE CAMBIO CULTURAL

Certificación? Tras los primeros seis meses se plantea certificación con cierta garantía (60%-70% en función del esfuerzo del cliente) Coste de la certificación debe estar fuera del proyecto de consultoría Los certificadores suelen ser lentos, hay que acordar con ellos el calendario y las jornadas con tiempo suficiente ANTES DE CERTIFICAR repasar TODO el esquema TENER EVIDENCIAS o gestión del riesgo

CSF ISO 27001 Factores clave que deben estar en certificación (1ª Ronda): Política de Seguridad publicada Usuarios formados Incidentes de Seguridad Roles de Seguridad Plan de Continuidad SGSI 1 revisión (6Meses) lo ideal, hacerla y certificar Seguridad Física Docs internos (Alcance, Liderazgo, ) Análisis de Riesgos Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN EVIDENCIAS!

A veces el problema no está en IT

MUCHAS GRACIAS PREGUNTAS Carlos Ortiz de Zevallos Torrents INTERNET SECURITY AUDITORS Consultor de Seguridad Miembro ITSMF BSI Lead Auditor ISO27001:2013 Consultor ISO20000 ITIL F/MCP/Scrum Manager cortiz@isecauditors.com https://www.linkedin.com/in/carlosortizdezevallos

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com Calle 90 # 12-28, www.isecauditors.com Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback