Professional Documents
Culture Documents
SGSIISO27001 v2
SGSIISO27001 v2
de la Seguridad de
la Información
ISO 27001:2013
¿QUÉ ES LA ISO?
Sistema de Gestión de la
Seguridad de la Información
(SGSI)
Nacimos para reinventar
SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
(SGSI) Es la herramienta de la organización para identificar e implementar las
medidas de seguridad oportunas, que proporcionen los niveles de
protección de la información que en cada momento sean necesarios,
de la forma más eficiente, en un entorno de mejora continua.
PLAN
(Establecer el SGSI)
DO
(Implementar y operar
el SGSI) CHECK
(Monitorear y revisar)
ACT
*Revisar el SGSI
(Mantener y mejorar)
*Medir la eficacia de los
controles *Implementar las
mejoras identificadas
*Revisar riesgos
residuales *Tomar las acciones
correctivas y preventivas
*Registrar acciones y apropiadas
eventos
*Comunicar los
*Realizar auditorías resultados y acciones a
internas todas las partes
interesadas
*Asegurar que las
mejoras logren sus
objetivos señalados
DIRECTIVA ISO: El Anexo SL
2. Referencias Normativas
• Referencias a otras normas complementarias para su aplicación.
3. Términos y Definiciones
• Términos que deben ser usados para la aplicación de la norma.
4. Contexto de la Organización
• Conocer la organización y su contexto.
• Comprender las necesidades y expectativas de las partes interesadas.
• Determinar el alcance del Sistema de Gestión.
• El Sistema de Gestión y sus procesos.
5. Liderazgo
• Liderazgo y compromiso para el Sistema de Gestión.
• Política de gestión.
• Roles, responsabilidades y autoridades en la organización.
6. Planificación
• Acciones para identificar los riesgos y las oportunidades.
• Objetivos y su planificación para lograrlos.
DIRECTIVA ISO: El Anexo SL
7. Soporte
• Recursos (necesarios para establecer, implementar, mantener y mejorar el SG).
• Competencias.
8. Operación
• Esta cláusula varía de acuerdo a cada SG. Planificación, implementación y control
de los procesos necesarios para cumplir con los requerimientos:
• Estableciendo los criterios para el control de los procesos.
• Implementando el control de los procesos de acuerdo con los criterios
establecidos.
• Manteniendo la información documentada en la extensión necesaria para tener La organización debe
confianza que los procesos se llevan a cabo de acuerdo a lo planificado. controlar los cambios
planificados y revisar las
9. Evaluación del Desempeño consecuencias de los cambios
• Seguimiento, medición, análisis y evaluación. no intencionados, tomando
• Auditoría Interna. las acciones para mitigar
• Revisión por la Dirección. cualquier efecto adverso si
fuera necesario.
10. Mejora La organización debe asegurar
• No conformidad y Acción Correctiva. que los procesos externos son
• Mejora Continua. controlados.
ISO 27001:2013
Sistema de Gestión de Seguridad de la
información (SGSI)
Con enfoque en Riesgos
Se hace más explícito el concepto de riesgo y necesita ser considerado en el SGSI en forma
global.
El enfoque basado en riesgos hace de las acciones preventivas parte de la rutina de gestión a
través de los controles implementados.
El riesgo es frecuentemente visto como algo negativo, sin embargo el enfoque basado en riesgo
puede también ayudar a identificar oportunidades. Esto puede ser considerado el lado positivo
del riesgo.
INFORMACIÓN DE VALOR
• Conjunto de datos organizados en poder de una
entidad que posea valor para la misma,
¿Qué es la
independientemente de la forma en que se
información?
guarde o transmita, de su origen o de la fecha de
elaboración
En el momento
correcto
(cuando sea requerido)
SEGURIDAD DE LA INFORMACIÓN
SESIÓN 2
Activos de Información
EL RIESGO ES EL EFECTO DE
LA INCERTIDUMBRE SOBRE
LOS OBJETIVOS
Explota
Aplica
Queda
Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización.
Los Factores Externos
POLITICO
LEGAL
ECONOMICO
COMPETENCIA
FINANCIERO
SOCIAL
MERCADO
CULTURAL
TECNOLOGICO
Los Factores Internos
INFORMACION COLABORADORES
TECNOLOGIA PROCESOS
INFRAESTRUCTURA
Nivel de riesgo
ANÁLISIS DE RIESGOS – DEFINICIONES
• Algo que tiene el potencial de
Amenaza dañar a un activo.
• medida de la probabilidad de
Frecuencia ocurrencia de una amenaza.
una amenaza.
RIESGO RIESGO
SESIÓN 3
Controles de seguridad de la
información
ISO 27001:2013
Permite garantizar que cada aspecto que se 14 Cláusulas o dominios de
valoró como riesgo, está cubierto y es
controles de Seguridad de la
auditable
Información
114 Controles
ISO 27002 (ISO 27001 – Apéndice A)
.
CONTROLES
A.6 A.7
A.5
Organización Seguridad A.8 A.9
Políticas de
de la seguridad ligada a los Administración Control de
seguridad de la
de la recursos de activos acceso lógico
información
información humanos
A.9.1 Requisitos
A.8.1 de negocio para el
A.7.1 Previo al
Responsabilidad control de acceso
A.6.1 empleo
por los activos
Organización
interna
A.9.2 Gestión de
A.5.1 Orientación acceso del usuario
de la dirección A.7.2 Durante el A.8.2 Clasificación
para la seguridad empleo de la información
de la información A.9.3
Responsabilidades
del usuario
A.6.2 Dispositivos
móviles y trabajo
A.7.3
remoto A.8.3 Manejo de A.9.4 Control de
Desvinculación y
los medios acceso al sistema
cambio de empleo
y aplicaciones
CONTROLES
A.12.1 Procedimientos
operacionales
A.12.2 Protección contra
código malicioso A.13.1 Gestión de la
A.11.1 Áreas seguras
seguridad de red
A.12.3 Respaldo
A.14.1 Requisitos
de seguridad de A.18.1
A.15.1 Seguridad A.17.1
los sistemas de Cumplimiento
de la información Continuidad de
información con los requisitos
en las relaciones la seguridad de la
legales y
con el proveedor información
contractuales
A.16.1 Gestión
A.14.2 Seguridad
de incidentes de
en procesos de
seguridad de la
desarrollo y
información y
soporte
mejoras
A.15.2 Gestión
A.18.2 Revisiones
de entrega del A.17.2
de seguridad de
servicio del Redundancias
A.14.3 Datos de la información
proveedor
prueba
Beneficios de la Seguridad de
la Información
CONFIDENCIALIDAD
Asegurar que la información es accesible sólo a aquellos que están autorizados.
INTEGRIDAD
Resguardar la veracidad e integridad de la información y los métodos de procesamiento
DISPONIBILIDAD
Garantizar que los usuarios autorizados tengan acceso a la información y los recursos
asociados cuando lo requieran.
Beneficios de la Seguridad de Información – ISO 27001
Confidencialidad Integridad
Continuidad Reducción
operativa de costos
Disponibilidad
Reducción de Ventaja
incidentes competitiva
Ingreso a nuevos
mercados
Sistema de Gestión
de la Seguridad de
la Información
ISO 27001:2013
SESIÓN 4
Políticas de la Seguridad de la
Información
¿CUAL ES EL OBJETIVO?:
Ejm:
➢ Información de clientes.
➢ Información comercial y económica.
➢ Información de personal, entre otros.
SGSI.POL.03 Política para la Clasificación de Información
• Backups • Restore
✓ La información crítica del negocio debe ✓ Los backups deben ser revisados y
ser protegida a través de copias de probados regularmente para verificar
respaldo (backup). su funcionamiento. (pruebas de
✓ La ejecución de backups debe ser restore)
registrada formalmente. ✓ El restore y las pruebas de restore
✓ Solo personal autorizado puede realizar deben registrarse formalmente.
el backup de la información. ✓ Solo personal autorizado puede
✓ Se deben establecer procedimientos realizar el restore de la información.
específicos para la gestión de backups. ✓ Se deben establecer procedimientos
específicos para la gestión del restore.
SGSI.POL.07 Política de transferencia de Información
• Acuerdo de Confidencialidad
Los responsables del área o proyecto deben
suscribir el documento SGSI.F.13 Acuerdo de
Confidencialidad con terceros en los casos que se
deba proporcionar documentación clasificada de la
organización a proveedores o terceras partes.
• Adquisición de aplicaciones
Se deben definir requisitos de seguridad de la información para toda aplicación
que se requiera adquirir.
• Análisis de vulnerabilidades
Periódicamente se debe realizar un análisis de vulnerabilidad al software y
tomar las acciones correctivas que sean necesarias para garantizar la
seguridad de la información.
• Gestión de riesgos
Se debe realizar el análisis de riesgos relacionado con las aplicaciones,
definir e implementar los controles de seguridad necesarios para garantizar la
seguridad de la información.
Gracias
Lima, 2021
Gestión de Calidad