Visión General Del SGSI e ISO27001

Fundamentos de la Norma ISO
27001 para la Gestin de la

Seguridad de la Informacin
Mdulo 3 Visin General del SGSI y la
Norma ISO 27001
Expositor: Vctor Reyna Vargas

Ingeniero de Sistemas
vreynav@gmail.com
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Agenda
Introduccin de Mike al SGSI e ISO 27001.

El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visin general de una implementacin ISO 27001.

Mike y los primeros pasos(1)

Bueno, empezar a
trabajar en la hoja de
ruta.
Deseara hablar con

alguien que haya
hecho esto antes.

Mike y los primeros pasos(2)

Oh, oh!!!
Hay alguna fiesta de
disfraces hoy en la
oficina?
Como lo sabesy
quin eres?
Ests bromeando? Y
que tipo de mal sueo
es este?
Creo que s.
Definitivamente puedo
utilizar alguna ayuda.
Ok, creo que asumir

el riesgoquien sea
que fueres.
Hola Mike.
Ocupado con el
problema de
seguridad de la
informacin?
Soy SECUREMAN y
ayudo a las personas
con la gestin de la
seguridad de la
informacin.
Tmalo como quieras

Mike pero s que
tienes un duro reto
con el despliegue de
la seguridad de la
informaciny quiero
ayudarte. Ests listo?
Te voy a llevar, paso
por paso, a travs de
la implementacin
completa de un
SGSI.
SECUREMAN y lo suyo(1)
Por favor, me puedes
explicar qu es un
SGSI?
Mike, la respuesta a
tu problema es la
creacin de un SGSI.
Claro!!! Escuchar
cuidadosamente.

SECUREMAN y lo suyo(2)
Un Sistema de Gestin de la
Seguridad de la Informacin es un
marco de trabajo para evaluar
continuamente los riesgos de
seguridad de la informacin y tomar
acciones razonables para protegerla.
Los expertos en Seguridad muchas

veces se refieren a un Sistema de
Gestin de la Seguridad de la
Informacin como SGSI.
Tal como otros buenos sistemas de
gestin, un SGSI es un proceso
continuo de por eso debe repetirse
regularmente.

Detallando ms
Gracias. Por favor me
podras decir en qu
consiste un SGSI?
Wow! Suena
exactamente a lo que
necesito.
Pero por qu dices

que un SGSI es un
proceso continuo?
Cierto. Qu tonto que

soy. Debera saberlo.
Buena pregunta. Un SGSI consiste de

una serie de procesos los que te
permiten:
1. Identificar la informacin a ser
protegida.
2. Determinar el valor de la
informacin a ser protegida.
3. Identificar los riesgos de seguridad
de la informacin.
4. Determinar las soluciones para
reducir el riesgo.
5. Priorizar las soluciones a ser
implementadas basndose en
tiempo, dinero y recursos que se
posea.
6. Y lo ms importante, poder repetir
este proceso.
As es. Necesitas un SGSI para
solucionar el problema de la gestin de
la seguridad de tu informacin.
Ya pues Mike! Tu sabes muy bien que
todos los das aparecen nuevas
amenazas para la seguridad. Por eso
debes evaluar continuamente los
riesgos de tu informacin.
Y an ms
Entonces, existe un libro
o documento que pueda
comprar para entender
los diferentes procesos
en un SGSI e
implementarlo?
Buenohay algo
mucho mejor Mike.
Existes estndares
internacionalmente
aceptados para un
SGSI.
Como cules..?
Bueno, el ms popular
y ampliamente utilizado
es la norma ISO
270001.
La ISO 27001?
S. De hecho, te
ensear a disear e
implementar un SGSI
utilizando la ISO
27001.
Wow. Hay mucha

informacin acerca de
un SGSI.
Pero, para expandir y

ampliar tu
conocimiento, tambin
puedes ver el ISM3
(Information Security
Management Maturity
Model) o COBIT.
As es y ahora
empecemos a
enfocarnos
en la 8ISO
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del
autor.
27001.
Agenda


Definicin de un SGSI
P
Un SGSI es un marco de
trabajo de gestin para
identificar informacin
importante, evaluar
continuamente los riesgos de
seguridad a dicha informacin
importante y tomar acciones
razonables para protegerla.
SGSI

10
El SGSI como un proceso continuo
y que permanece durante toda la vida del negocio.

Un buen sistema de gestin siempre se mejora as mismo.
El espacio ms grande en el mundo es el espacio para mejorar.
La mejora es un proceso sin trmino.
Un SGSI siempre trata de mejorar mediante la reduccin de riesgos
en la informacin importante del negocio.

11
Recuerdano existe la Seguridad al 100%
Es imposible lograr una seguridad de 100%.

Lo que se debe hacer es reducir continuamente la brecha entre el
100% de perfeccin (o el 100% de seguridad) y el nivel actual de
seguridad proporcionado por el SGSI.
Por ejemplo, supongamos que tu SGSI es 99% perfectote
esforzars por estar a 99.9%...y luego en 99.99%...y luego en
99.999%...y as ser hasta que reduzcas la brecha entre la
perfeccin absoluta y el nivel actual en el que ests.
Con el fin de lograr la perfeccin, se mejorar y repetir el ciclo del
SGSI.

12
Pasos de un SGSIEl modelo PHVA
P Planificar.
H Hacer.
Implementar el plan de tratamiento de riesgos.
V Verificar.
Identificar la informacin a proteger.

Analizar los riesgos de la informacin.
Definir un plan de tratamiento de riesgos.
Revisar y evaluar el rendimiento del SGSI mediante la revisin de la efectividad

del plan de tratamiento de riesgos.
A Actuar.
Hacer las correcciones necesarias.

Continuar con el proceso.

13
Ms del modelo PHVA
El modelo PHVA es un modelo

internacionalmente aceptado y
utilizado por muchos
estndares y sistemas de
gestin conocidos.
El modelo PHVA tambin es
llamado el Ciclo de Deming.

14
Qu hay de la ISO 27001?
La ISO 27001 es un estndar internacional que proporciona un

modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un SGSI.
Es decir, utilizars la ISO 27001 para crear y gestionar tu SGSI.
Es una referencia o una herramienta o una gua para tu SGSI.
El nombre completo del estndar es ISO / IEC 27001 : 2005.
La ISO 27001 se adhiere al modelo PHVA y es probablemente el
estndar ms utilizado para la implementacin de un SGSI a nivel
mundial.

15
Por qu es popular la ISO 27001?
Es un estndar certificable.
Una organizacin puede
implementar un SGSI conforme
con la ISO 27001 y certificarse a
travs de un Cuerpo de
Certificacin Acreditado.
La certificacin ISO 27001
mejorar el perfil y la imagen de
una organizacin.
La certificacin ISO 27001
proporciona confianza a los
clientes ya que se protege la
informacin valiosa del negocio.

16
Historia y evaluacin de la ISO 27001
1992 El Departamento de Comercio e Industria del Reino Unido

publica el Cdigo de Prctica para la Gestin de la Seguridad de la
Informacin.
1995 Modificado y re-publicado por el Instituto de Estndares
Britnicos como la BS7799.
1999 1ra revisin importante de la BS7799.
2000 La BS7799 se transforma en la ISO 17799, la cual es un cdigo
de prctica.
2002 Se publica la BS7799-2. Era una Especificacin para el Sistema
de Gestin de Seguridad de la Informacin y se poda certificar.
2005 Se publica una nueva versin de la ISO 17799.
2005 La BS7799-2 se transforma en la ISO 27001.

17
La familia de estndares de la ISO 27000

Estndar
Descripcin
ISO/IEC 27000
Proporciona una visin global e introductoria a los

estndares de la ISO27K.
ISO/IEC 27001:2005
Proporciona los requerimientos (especificacin) de

un Sistema de Gestin de Seguridad de la
Informacin.
ISO/IEC 27002:2005
Proporciona el cdigo de prctica para la Gestin de

la Seguridad de la Informacin, antes conocida como
ISO 17799.
ISO/IEC 27003
Proporciona una gua para la implementacin de la

ISO/IEC 27001.
ISO/IEC 27004
Proporciona un estndar para medir la Gestin de la

Seguridad de la Informacin.
ISO/IEC 27005:2008
Proporciona un estndar para la Gestin de Riesgos

de Seguridad de la Informacin.

18
ISO 27001 SGSI - PHVA
P
El proceso de Implementacin
de la ISO 27001 se adhiere a
los pasos para la
implementacin de un SGSI tal
como lo discutimos antes.
SGSI
Existen guas bien definidas

para cada fase PHVA.

19
La fase Planificar Establecer el SGSI

1.
2.
3.
4.
5.
6.
7.
8.
Definir el Alcance del SGSI.

Definir la Poltica del SGSI.
Definir el Enfoque de Evaluacin de Riesgos de la organizacin.
Identificar los riesgos.
Analizar las opciones para tratar los riesgos.
Seleccionar los controles y los objetivos de control para el
tratamiento de los riesgos.
Obtener de la Alta Gerencia la aprobacin y la autorizacin para el
tratamiento de riesgos y riesgos residuales.
Preparar la Declaracin de Aplicabilidad.

20
La fase Hacer Implementar y operar el SGSI

1.
2.
3.
4.
5.
6.
7.
Definir e implementar un Plan de Tratamiento de Riesgos.

Seleccionar los controles apropiados.
Definir cmo medir la efectividad de los controles.
Implementar los programas de concientizacin y entrenamiento.
Gestionar la operacin del SGSI.
Gestionar los recursos para la operacin del SGSI.
Implementar la deteccin de incidentes de seguridad y los
procedimientos de respuesta.

21
La fase Verificar Monitorear y revisar el SGSI

1.
2.
3.
4.
5.
6.
7.
Ejecutar el monitoreo y revisar los procedimientos.

Medir la efectividad de los controles.
Revisar las evaluaciones de riesgos y revisar los riesgos residuales.
Conducir auditorias internas al SGSI.
Comprometer a la Alta Gerencia a la revisin del SGSI.
Actualizar los planes de seguridad basndose en las revisiones y
hallazgos.
Registrar las acciones y eventos que podran tener un impacto en el
rendimiento del SGSI.

22
La fase Actuar Mantener y mejorar el SGSI

1.
2.
3.
4.
Implementar las mejoras identificadas del SGSI.

Tomar las acciones correctivas y preventivas apropiadas.
Comunicar las acciones y la mejoras a todas las partes relevantes.
Asegurar que las mejoras logren los objetivos previstos.

23
Agenda


24
Divide y vencers
Para propsitos de aprendizajes, dividamos la ISO 27001 en dos

secciones Seccin 1 y Seccin 2.
La Seccin 1 consiste de un conjunto de requerimientos obligatorios
que explican cmo construir el SGSI con el Modelo PHVA. En el
estndar ISO 27001 estas son las Partes 4, 5, 6, 7 y 8.
La Seccin 2 consiste de los Objetivos de Control y los Controles. En
el estndar ISO 27001 este es el Anexo A.
Control. Es esencialmente una salvaguarda de seguridad de la informacin. Por

ejemplo: un antivirus, un programa de entrenamiento en Seguridad de la
Informacin o un proceso de Gestin de Cambios.
Objetivo de Control. Especifica el fin del uso de un control o conjunto de controles.
La ISO 27001 proporciona un conjunto de 133 controles que puedes utilizar para
construir tu SGSI.

25
Importante!!!
Existe una relacin muy simple entre la Seccin 1 y la Seccin 2.

La Seccin 1 nos dice cmo construir el SGSI basndonos en el
modelo PHVA.
La Seccin 2 nos proporciona un conjunto de controles que podemos
utilizar para construir el SGSI.

26
Seccin 1 Requerimientos Obligatorios
Planificar
Seccin 4
Actuar
Seccin 8
Hacer
Seccin 5
Verificar
Seccin 6 y 7

27
Seccin 2 Objetivos de Control y Controles
La Seccin 2 proporciona una

lista de Controles y Objetivos
de Control que pueden ser
utilizados para construir un
SGSI, segn lo especificado en
la Seccin 1.

28
Ejemplo 1 Relacin entre la Seccin 1 y Seccin 2
Seccin 1: Parte 4.2 del

estndar
Definir una poltica de
SGSI en trminos de
las caractersticas del
negocio,
se implementa
con
Seccin 2: Anexo A
A.5.1 del estndar
Documento de poltica
de Seguridad de la
Informacin.

29
Ejemplo 2 Relacin entre la Seccin 1 y Seccin 2
Seccin 1: Parte 5.1 del

estndar
Compromiso de la Alta
Gerencia
se implementa
con
Seccin 2: Anexo A
A.6.1.1 del estndar
Compromiso de la Alta
Gerencia a la
Seguridad de la
Informacin

30
Importante
La Seccin 1 es
obligatoria para
obtener la
Certificacin ISO
27001
La Seccin 2,
algunos de los
controles son
obligatorios, otros no

31
No todos los controles aplicarn en tu organizacin

No hay
disponibilidad de
tiempo, dinero y
recursos
Hay disponibilidad
de arreglos
alternativos
La Alta Gerencia de
la organizacin ha
decido aceptar el
riesgo
Factores geogrficos
y otras razones
vlidas o
justiticables
Criterios
para evitar
ciertos
controles

32
En resumen
Existen 133 Controles en la ISO 27001.

Estn divididos en 11 dominios.
Veremos ms en los captulos de Anlisis de Riesgos y Tratamiento
de Riesgos.

33
Agenda


34
Implementacin de un SGSI PHVA en 8 pasos
1.
2.
3.
4.
5.
6.
7.
8.
Anlisis de Brechas (opcional).

Foro de Gestin de la
Seguridad de la Informacin.
Alcance del SGSI.
Activos identificados y
clasificados.
Anlisis de Riesgos.
Gestin de Riesgos.
Auditoria Internas.
Auditoria para la Certificacin.

35
Grficamente
Analizar las
brechas
Definir el
alcance del
SGSI
Identificar y
clasificar los
activos
Realizar auditoria
internas
Analizar los
riesgos
Gestionar los
riesgos
Realizar auditoria
para Certificacin

36
Paso 1 Analizar las brechas
Un Anlisis de Brechas es una examinacin de las prcticas actuales

de Gestin de la Seguridad de la Informacin de tu organizacin y
una comparacin contra los controles de la ISO 27001.
Beneficios:
Aclara la idea del nivel de seguridad de la informacin actual de la organizacin y lo

que se necesita para ser conformes con la ISO 27001.
Muestra los controles de seguridad de la informacin pobres o la falta de ellos.
El posible impacto de estos controles de seguridad pobres o la falta de ellos.
Cunto costar (en trminos de dinero, tiempo y personas) implementar un SGSI
con los controles necesarios.
Plan de Accin:
Priorizar las debilidades de seguridad de la informacin para ser corregidas en

primer lugar.
Utilizar la lista de priorizacin como una entrada para el resto de la
implementacin del SGSI.

37
Paso 2 Foro de Gestin de la Seguridad de la Informacin
Definicin: Un equipo de gestin de alto nivel que protege la

implementacin, el mantenimiento y la mejora del SGSI.
Otros nombres:
Comit de Revisin de la Seguridad de la Informacin.

Equipo de Gestin de la Seguridad de la Informacin.
El FGSI es responsable de la revisin y la aprobacin de diversas

actividades del SGSI.

38
Organizacin del Foro
Presidente del
FGSI
Oficial Jefe de
Seguridad de
Informacin (CISO)
Representante de
la Funcin del
Negocio 1
Representante de
la Funcin del
Negocio 2
Representante del
equipo de Auditoria
Representante de
la Funcin del
Negocio n

39
Paso 3 Alcance del SGSI
La definicin del alcance es el paso en el que se especificar

exactamente lo que ser protegido por el SGSI.
Esto usualmente incluye las funciones del negocio, los activos de
informacin en las funciones del negocio y la ubicacin geogrfica
bajo la jurisdiccin del programa del SGSI.
Se tiene la libertad de definir el alcance que mejor le convenga a tu
organizacin.
Puedes incluir a una funcin del negocio si es muy importante.

Puedes excluir a una funcin del negocio si no es importante o si tiene una razn
vlida (falta de recursos, etc).

40
Ejemplo Enunciado del Alcance
El Sistema de Gestin de la Seguridad de la Informacin se

despliega para proteger la informacin del negocio utilizada
por las funciones de negocios Finanzas, Recursos
Humanos, Investigacin y Desarrollo, Ventas y Marketing;
las cuales pertenecen a ACME Inc., #1, North Block, Race
Course Drive, New Delhi, India.
Nota: Un alcance siempre est ligado a una localizacin

geogrfica.

41
Paso 4 Activos identificados y clasificados
Identificar todos los activos de informacin que estn bajo el alcance

de, listarlos y clasificarlos basndose en su valor.
Activo de Informacin: Informacin que tiene valor para una
organizacin.
Ejemplos:
Informacin (por s misma): cdigo fuente.

Componentes que ingresan informacin: teclados, escner.
Componentes que almacenan informacin: disco duro, cinta de seguridad.
Componentes que procesan informacin: computadoras, aplicaciones de software,
firewalls.
Componentes que transmiten informacin: cables de red, wireless, bluetooth.
Componentes que entregan/generan informacin: monitores, teclados.

42
Tipos de activos de Informacin
Personas
Papel
Electrnico

43
Principales sub pasos
Identificacin de Activos:
Listar todos los activos de
informacin importantes en
la organizacin de acuerdo
al alcance.
Clasificacin de Activos:
Clasificar los activos en

trminos de:
Confidencialidad
Integridad
Disponibilidad

44
Ejemplo Clasificacin de Activos
Confidencialidad Cun
sensible/secreta es la informacin en
esta laptop? Cuntas personas estn
autorizadas a VER esta informacin?
Integridad Cuntas personas estn
autorizadas a CAMBIAR esta
informacin.
Disponibilidad Cunta es la
duracin de TIEMPO que la laptop
debe estar disponible para ser
accedida por las personas
autorizadas?

45
Paso 5 Anlisis de Riesgos
El Anlisis de Riesgos de Seguridad de la Informacin es el proceso

que determina la probabilidad de que un activo de informacin est
comprometido (robado, destruido, corrupto, etc).
Es uno de los pasos ms significativos en la implementacin de un
SGSI.
Terminologa en Anlisis de Riesgos:
Activo de Informacin. Un componente de informacin de valor. Por ejemplo: una

computadora utilizada para almacenar la informacin del negocio.
Amenaza. Algo que puede comprometer el activo de informacin. Por ejemplo:
virus.
Vulnerabilidad. Una debilidad que puede ser explotada por la Amenaza. Por
ejemplo: ausencia de una actualizacin apropiada de un Anti-Virus.
Probabilidad. Posibilidad de que la Amenaza explote la Vulnerabilidad. Por ejemplo:
una vez cada dos aos.
El Riesgo se mide mediante la asignacin de un valor numrico

cualitativo a estos 4 componentes.
46
Paso 6 Gestin de Riesgos
La Gestin de Riesgos de Seguridad de la Informacin es el proceso

que despliega contramedidas (controles) apropiados para reducir los
riesgos de seguridad de la informacin y proteger los activos de
informacin.
Las contramedidas (controles) incluyen:
Tcnicas. Firewalls, encriptacin, contraseas, etc.

Fsicas. Cerraduras y llaves, salidas de emergencia, etc.
Procedimentales/Legales. Leyes, reglas, polticas, guas, etc.
Conocimiento. Entrenamiento.
La ISO 27001 nos da un lista comprensible de 133 controles para

mitigar los Riesgos de Seguridad de la Informacin. Estos controles
cubren las contramedidas tcnicas, fsicas, procedimentales/legales
as como las de conocimiento.

47
Paso 7 Auditoria Interna
La Auditoria Interna es una inspeccin pre-certificacin del SGSI

realizada por la misma organizacin.
Esencialmente es una serie de auditorias realizadas por la
organizacin antes de la auditoria de Certificacin.
El propsito de una Auditoria Interna es revisar la implementacin
total del SGSI y la efectividad de la misma.
La Auditoria Interna debera realizarse de la misma forma que la
Auditoria de Certificacin.
Se debe tener listo lo siguiente:
Anlisis de Brechas. Informes del anlisis de brechas.

Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificacin.
Anlisis de Riesgos. Informes del anlisis de riesgos.
Gestin de Riesgos. Pruebas lista de controles, polticas, evidencia y controles
fsicos, prueba de revisiones como actas de reuniones.

48
Beneficios de la Auditoria Interna
Conocer si la organizacin est preparada para la certificacin o no.

Conocer cunto ha mejorado el SGSI.
Conocer los cambios de ltimo minuto a realizar.
Estar ms confiados.

49
Paso 8 Auditoria para la Certificacin
La Auditoria para la Certificacin es el proceso por el cual un Cuerpo

de Certificacin externo e independiente revisa el SGSI para evaluar
la compatibilidad con la ISO 27001.
Si se encuentra que el SGSI es compatible, el Cuerpo de Certificacin
recomienda al Cuerpo de Acreditacin que firme el certificado ISO
27001 para la organizacin.
Trminos y terminologas:
Cuerpo de Certificacin: La organizacin que ejecuta la auditoria para la

certificacin.
Cuerpo de Acreditacin: La organizacin que firma el certificado ISO 27001 basado
en las recomendaciones del Cuerpo de Certificacin.

50
Pasos de la Auditoria para la Certificacin
Etapa 1. Revisin de todos los informes, polticas, alcance, etc y una

auditoria inicial del SGSI. Se enva una lista inicial de hallazgos y
correcciones recomendadas.
Etapa 2. Verificacin de las correcciones de los hallazgos en la Etapa
1, una segunda ronda de auditorias del SGSI y, si es vlido, se
recomienda a la organizacin para la certificacin.
La brecha entre ambas etapas es de uno a dos meses.
Los documentos que deben estar listos son similares a los de la
Auditoria Interna:
Anlisis de Brechas. Informes del anlisis de brechas.

Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificacin.
Anlisis de Riesgos. Informes del anlisis de riesgos.
Gestin de Riesgos. Pruebas lista de controles, polticas, evidencia y controles
fsicos, prueba de revisiones como actas de reuniones.
Enunciado de Aplicabilidad.
51
Enunciado de Aplicabilidad
Lista de todos los 133 Controles de la ISO 27001.

Indicacin de s se ha utilizado un control.
En caso afirmativo, por qu? En caso negativo, por qu no?
Evidencia de su uso.
Control
Estado
Justificacin
Evidencia
A.5.1.1 Documento
de Poltica de
Seguridad de la
Informacin
Si
Para establecer la hoja

de ruta del SGSI de la
organizacin.
Documento de poltica
de seguridad de la
informacin publicada en
la organizacin.
A.10.9.1 Comercio
Electrnico
No
La organizacin no tiene
ninguna transaccin va
comercio electrnico.
No aplica.

52
La Certificacin
Cuando se concluye exitosamente la Auditoria de Certificacin y

luego de la aprobacin del Cuerpo de Acreditacin, la organizacin
recibe un Certificado ISO 27001.
La Certificacin ISO 27001 es un

proceso continuo y la organizacin
debe someterse a 2 auditorias
adicionales en los siguientes 3 aos.
Luego de 3 aos, la organizacin
debe someterse a un proceso de recertificacin.

53
Taller 02: Visin General de la

Implementacin de un SGSI

54
Fin de la Presentacin

55

Visión General Del SGSI e ISO27001

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Visión General Del SGSI e ISO27001

Uploaded by

Copyright:

Available Formats

Fundamentos de la Norma ISO

27001 para la Gestin de la

Expositor: Vctor Reyna Vargas

Introduccin de Mike al SGSI e ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)

Mike y los primeros pasos(1)

Deseara hablar con

2012 VRV (Contacto: vreynav@gmail.com)

Mike y los primeros pasos(2)

Ok, creo que asumir

Tmalo como quieras

2012 VRV (Contacto: vreynav@gmail.com)

Los expertos en Seguridad muchas

2012 VRV (Contacto: vreynav@gmail.com)

Pero por qu dices

Cierto. Qu tonto que

Buena pregunta. Un SGSI consiste de

Wow. Hay mucha

Pero, para expandir y

Introduccin de Mike al SGSI e ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)

2012 VRV (Contacto: vreynav@gmail.com)

El SGSI como un proceso continuo

y que permanece durante toda la vida del negocio.

2012 VRV (Contacto: vreynav@gmail.com)

Recuerdano existe la Seguridad al 100%

Es imposible lograr una seguridad de 100%.

2012 VRV (Contacto: vreynav@gmail.com)

Pasos de un SGSIEl modelo PHVA

Implementar el plan de tratamiento de riesgos.

Identificar la informacin a proteger.

Revisar y evaluar el rendimiento del SGSI mediante la revisin de la efectividad

Hacer las correcciones necesarias.

2012 VRV (Contacto: vreynav@gmail.com)

Ms del modelo PHVA

El modelo PHVA es un modelo

2012 VRV (Contacto: vreynav@gmail.com)

Qu hay de la ISO 27001?

La ISO 27001 es un estndar internacional que proporciona un

2012 VRV (Contacto: vreynav@gmail.com)

Por qu es popular la ISO 27001?

2012 VRV (Contacto: vreynav@gmail.com)

Historia y evaluacin de la ISO 27001

1992 El Departamento de Comercio e Industria del Reino Unido

2012 VRV (Contacto: vreynav@gmail.com)

La familia de estndares de la ISO 27000

Proporciona una visin global e introductoria a los

Proporciona los requerimientos (especificacin) de

Proporciona el cdigo de prctica para la Gestin de

Proporciona una gua para la implementacin de la

Proporciona un estndar para medir la Gestin de la

Proporciona un estndar para la Gestin de Riesgos

2012 VRV (Contacto: vreynav@gmail.com)

ISO 27001 SGSI - PHVA

Existen guas bien definidas

2012 VRV (Contacto: vreynav@gmail.com)

La fase Planificar Establecer el SGSI

Definir el Alcance del SGSI.

2012 VRV (Contacto: vreynav@gmail.com)

La fase Hacer Implementar y operar el SGSI

Definir e implementar un Plan de Tratamiento de Riesgos.

2012 VRV (Contacto: vreynav@gmail.com)

La fase Verificar Monitorear y revisar el SGSI