ADMINISTRACION DE CENTROS

TECNOLOGICOS DE INFORMACION
UTEA-APURIMAC-ABANCAY
E.P. INGENIERIA DE SISTEMAS E INFORMATICA

DOCENTE:
EDUARDO CHAVEZ NOSE

INTEGRANTES:
MILAN ENRIQUE DURAND SEQUEIROS
ALGIRIO NOSE
JORGE LUIS ARIAS NOSE
WILY SEQUEIROS NOSE

Implementación de la
norma ISO-IEC 27001:2014

 Sección 1: Principios fundamentales
de la
Seguridad de la
Información.
 Sección 2: Estándar y Marco
Normativo.
 Sección 3: Implementación de la
Norma ISO
27001.

Sección Principios fundamentales de la Seguridad de la Información 1 .

.¿Qué es Seguridad? • El término seguridad proviene de la palabra securitas del latín. el término puede tomar diversos sentidos según el área o campo a la que haga referencia. • Sin embargo. • Cotidianamente se puede referir a la seguridad como la reducción del riesgo o también a la confianza en algo o alguien.

Información y Activo • Información: Datos significativos • Activo: Cualquier bien que tiene valor para la organización .

. • Este tipo de información imprescindible para las empresas es lo que se denomina activo de información.Activo de Información • Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.

los demás activos les dan soporte. suelen ser el núcleo del sistema.Tipos de Activos de Información • Servicios: Procesos de negocio de la organización • Datos/Información: Que son manipulados dentro de la organización. • Aplicaciones (Software) • Equipo Informático (Hardware) • Personal • Redes de Comunicación • Soporte de Información • Equipamiento Auxiliar • Instalaciones • Intangibles .

• Registro: Documento que indique los resultados obtenidos o proporcione evidencia de las actividades desempeñadas.Registro • Documento: Información y su medio de soporte.Documento . .

disponibilidad e integridad) de la misma. .Seguridad de la Información • La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten resguardar y proteger la información buscando mantener las dimensiones (confidencialidad.

Seguridad de la Información Abarca todo tipo de información • Impresa o escrita a mano • Grabada con asistencia técnica • Transmitida por correo electrónico o electrónicamente • Incluida en un sitio web • Mostrada en videos corporativos • Mencionada durante las conversaciones • Etc. .

PRINCIPIOS BASICOS DE SEGURIDAD “La razón básica de las organizaciones es que en situaciones de rápido cambio sólo aquellas que sean flexibles. adaptables y productivas se destacarán. . Para que esto suceda las organizaciones necesitan descubrir cómo aprovechar el compromiso de la gente y la capacidad de aprender en todos los niveles”.

• A grandes rasgos. .Confidencialidad • La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Integridad • Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. . sin ser manipulada o alterada por personas o procesos no autorizados. • La integridad es mantener con exactitud la información tal cual fue generada.

ya sean personas. cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella.Disponibilidad • La disponibilidad es la característica. procesos o aplicaciones. . • La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

Análisis de Riesgos Vulnerabilidad • La debilidad de un activo o de un control que puede ser explotada por una o más amenazas. • Las vulnerabilidades pueden ser intrínsecas o extrínsecas. .

Análisis de Riesgos Amenazas • Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los Elementos de Información. .

Análisis de Riesgos Relación: Vulnerabilidad y Amenaza .

Impacto Cambio adverso importante en el nivel de los objetivos de negocios logrados. .

Probabili dad de Ocurrenci a Consecue ncia (Impacto) Riesgo .Riesgo para la Seguridad de la Información • Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causará daño a la organización.

. hasta situaciones muy probables pero de impacto bajo o muy bajo. • zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio. • zona 4 – riesgos improbables pero de muy alto impacto. • zona 3 – riesgos improbables y de bajo impacto.El Riesgo en función del Impacto y la Probabilidad • zona 1 – riesgos muy probables y de muy alto impacto.

. procedimientos. directrices y prácticas o estructuras organizativas.Objetivo de Control y Control Objetivo de Control • Declaración de describir lo que se quiere lograr como resultado de los controles de aplicación. dispositivo de seguridad. • Incluye las políticas. • Sinónimo: medida. Control • Métodos para gestionar a riesgo. contra medida.

 Hacer que socios y empleados firmen un acuerdo de confidencialidad.Tipos de Controles Control preventivo  Desalentar o evitar la aparición de problemas  Ejemplos:  Publicación de la política de seguridad de la información.  Establecer y mantener contactos apropiados con los grupos de especialistas en seguridad de la información.  Contratar sólo personal calificado. .

 Sistema de detección de intrusiones (IDS).Tipos de Controles Control de investigación  Buscar e identificar anomalías  Ejemplos:  Controles en trabajos de producción. fuego o riesgos relacionados con el agua. .  Verificación de los dobles cálculos.  Control de ecos en las telecomunicaciones. humo.  Alarmas para detectar el calor.  Cámaras de vídeo.

tales como copias de seguridad periódicas. concienciación. procedimientos y actividades de mantenimiento necesarios. el almacenamiento en un lugar seguro y la recuperación de las transacciones.  Procedimientos de emergencia.Tipos de Controles Control correctivo  Evitar la repetición de anomalías  Ejemplos:  Implementar planes de emergencia con la formación. pruebas. .  Procedimientos re-ejecutados.

Las Relaciones entre Conceptos de Gestión de Riesgos .

Sección 2 Estándar y Marco Normativo .

¿Qué es ISO? • ISO es una red de organismos nacionales de estandarización de mas de 160 países. • Se han publicado mas de 19.000 normas desde 1947. . • Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales.

esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.QUE ES LA NTP ISO 27001:2014 ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La NTP ISO 27001:2014 (Norma Técnica Peruana) es una traducción de la NTP 27001. La revisión más reciente de esta norma fue publicada en 2014 y ahora su nombre completo es ISO/IEC 27001:2014. para el Perú realizada en el año 2014. . privada o pública. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada. pequeña o grande. Es la norma validada por INDECOPI. ISO 27001 puede ser implementada en cualquier tipo de organización. con o sin fines de lucro.

Decreto Supremo Nº 013-2003-PCM. Dictan medidas para garantizar la legalidad de la adquisición de programas de software en entidades y dependencias del Sector Público. aprobado por Decreto Supremo N° 003-2013JUS. Resolución Ministerial Nº 179-2004-PCM. LEY N° 29664 Ley que Crea el Sistema Nacional de Gestión de Desastres (SINAGERD). Procesos del ciclo de vida del software 1ª Edición” y modificatoria. Ley de Protección de Datos Personales y su reglamento. . que aprueba el uso obligatorio de la “Norma Técnica Peruana NTP-ISO/IEC 12207:2004. Tecnología de la Información.NORMATIVIDAD LEGAL A CONSIDERAR RM N° 129-2012-PCM Implementación Obligatoria de la NTP ISO IEC/ 27001:2008. Ley 29733.

ESTRUCTURA DE LA ISO 27001:2014 .

Estructura la Seguridad Norma NTP ISO 27001:2008 .

Cooperación internacional: más de 160 países además de organismos de enlace . Representación igualitaria: 1 voto por país Principios Básicos de las Normas ISO 2. Orientación al negocio: ISO sólo desarrolla normas para las que existe demanda del mercado 4. Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas 3. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas 5.Principios Básicos de las Normas ISO 1.

¿Qué son los Sistemas de Gestión? • Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas. el enfoque centrado en la gestión y el pensamiento disciplinado. los procedimientos y procesos de la organización. que incluyen la optimización de procesos. . • Un sistema de gestión ayuda a lograr los objetivos de la organización mediante una serie de estrategias.

Los Sistemas de Gestión se Integran CALIDAD ISO 9001 SISTEMA DE GESTION AMBIENTA LISO ISO 14001 SALUD Y SEGURIDA D TRABAJO OHSAS 18001 SEGURIDA D DE LA INFORMACI ON ISO 27001 .

• El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas. mantener y mejorar la protección de los activos de información para lograr objetivos de negocio. monitorear. procedimientos y controles en relación a los objetivos de negocio de la organización. revisar. contribuye a la exitosa implementación de un SGSI. En ingles se conoce con las siglas ISMS (Information security management system) . operar. implementar. • El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información.¿Qué es un SGSI? • Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para establecer.

Enfoque a Procesos .

hacer.Ciclo de Deming • El circulo de DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestion. Act) . Do. verificar y actuar) o ingles PDCA (Plan. • El conocido Ciclo Deming o también se le denomina el ciclo PHVA que quiere decir según las iniciales (planear. Check.

Ciclo de Deming .

Vocabula rio Familia ISO 27000 Industria Generalida des Requisito s ISO 27000 Vocabulario ISO 27001 Requisitos del SGSI ISO 27002 Código buenas práticas ISO 27003 Guía de Implementa ción ISO 27011 Telecomunic aciones ISO 27004 Métricas ISO 27799 Salud ISO 27009 Requisitos organización certificadora ISO 27005 Gestión de Riesgos ISO 2700727008 Guias de Auditoria ISO 270XX Vocabulario .

ISO 27001 • Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10) • Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo • Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles • La organización puede ser certificada en esta norma .

ISO 27002 • Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia) • Cláusulas escritas utilizando el verbo "debería" • Compuesto de 14 cláusulas. 35 objetivos de control y 114 controles • Una organización no puede ser certificada en esta norma • También conocida como ISO 17799 .

ISO 27003 • Guía para el código de prácticas para la implementación de un SGSI • Documento de referencia para ser utilizado con las normas ISO 27001 e ISO 27002 • Consta de 9 cláusulas que definen 28 etapas para implementar un SGSI • La certificación con esta norma no es posible .

Historia de la Norma ISO 27001 .

Estructura de la Norma ISO 27001 .

Sección 3

Implementación de la Norma ISO 27001

Enfoque a Procesos
• La aplicación del enfoque de proceso
variará de una organización a otra en
función de su tamaño, complejidad y
actividades
• A menudo las organizaciones identifican
demasiados procesos
• Los procesos se pueden definir como un
grupo lógico de tareas relacionadas entre
sí, para alcanzar un objetivo definido.
ENTRADA

PROCESO

SALIDA

Información Documentada Ciclo
de Vida de los Documentos

• La organización puede ser certificada en esta norma. Sistemas de gestión para documentos. Requisitos.ISO 30301 • Información y documentación. La implantación de un Sistema de Gestión de Seguridad de la Información es una decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada y dirigida desde la dirección .

Etapas Ciclo de Deming .

Iniciando el SGSI Definición del enfoque para la aplicación del SGSI • Velocidad de Implementación • Nivel de madurez del proceso y controles • Expectativas y ámbito Selección de un marco metodológico • Metodología para gestionar el proyecto (PMBOK) Alineación con las mejores practicas • • • • ISO ISO ISO ISO 27001 27002 27003 27004 .

para ello CMM muestra la madurez de una organización basándose en la capacidad de sus procesos .Nivel de Madurez Es importante determinar en que nivel se encuentra la organización.

FASE I Organización .

• Determinar el alcance del Sistema de Gestión de Seguridad de la Información. • Obtener el apoyo institucional. • Determinar la declaración de Política de Seguridad de la Información y objetivos. .Fase I Organización Desarrollar las actividades principales para la dirección e inicio de la implantación del SGSI. • Determinar criterios para la evaluación y aceptación de riesgos.

estos son: 1. Protección de Procesos de Negocio 3. Cumplimiento 2. Ordenamiento de su negocio . Disminución de incidentes 4.Obtener el Apoyo Institucional • Existen 4 ejes de apoyo para sustentar el apoyo institucional.

Organización de la Seguridad .

• Patrocinar y participar en la implementación. Las funciones del Comité de Gestión de Seguridad de la Información son las siguientes: • Informar la situación Institucional en materia de seguridad de la información. monitoreo. • Proponer la designación del Oficial de Seguridad de la Información. • Designar a los miembros del Comité Técnico de Seguridad de la Información. mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información (SGSI). operación. Se reunirá por lo menos una vez al mes para evaluar la situación institucional en materia de seguridad de la información y el plan de acción para mejorarla continuamente. .Comité Gestión El Comité de Gestión de Seguridad de la Información es el máximo órgano consultivo de carácter no técnico sobre la seguridad de la información. revisión.

entre otros. Ser “embajadores” de seguridad de la información para influenciar las opiniones de una forma positiva y. . Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la Información. Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir informes al Comité de Gestión de Seguridad de la Información. Las funciones del Comité Consultivo de Seguridad de la Información son las siguientes: • • • • Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos. procesamiento de la información.Comité Técnico El Comité Técnico de Seguridad de la Información es un órgano consultivo de carácter técnico y está integrado por los Jefes de los procesos involucrados en el alcance quienes deberán tener un amplio conocimiento de los procesos que se realizan en la institución. recoger las necesidades y expectativas de los trabajadores. mejoras al SGSI. activos de información.

es recomendable empezar por un alcance limitado). definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización. localización. de hecho. organización.Determinar el Alcance del SGSI • Se debe definir en función de características del negocio. . activos y tecnología.

aprobado y documentado. Cualquier cambio en el alcance debe ser evaluado. • Extensión del ámbito de aplicación. .Determinar el Alcance del SGSI • Definir los limites de la organización. • Definir los limites de los sistemas de información. • Definir el ámbito y limites físicos. • Definir el alcance del SGSI. • Cambios en el alcance.

legales y contractuales en cuanto a seguridad • Debe de estar alineada con la gestión de riesgo general.Determinar la Declaración de Política de Seguridad de la Información y Objetivos • Debe tener el marco general y los objetivos de seguridad de la información de la organización • Debe explicar los requisitos de negocio. una especie de "declaración e intenciones" de la Dirección. por lo que no pasará de dos o tres páginas. • La política de seguridad es un documento muy general. . establecer criterios de evaluación de riesgo y ser aprobada por la Dirección.

Tipos de Política .

Estructura de una Política • • • • • • • • • • Resumen Introducción Ámbito de aplicación Objetivos Principios Responsabilidades Resultados importantes Políticas relacionadas Definiciones Sanciones .

. • ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla. hacer una combinación de varias o crear la suya propia. la organización puede optar por una de ellas. desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable.Determinar Criterios para la Evaluación y Aceptación de Riesgos • Se debe definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización. • Existen muchas metodologías de evaluación de riesgos aceptadas.

Algunas Metodologías para la Evaluación de Riesgos • • • • • • • • Magerit (España) Octave (EE.UU.) Ebios (Francia) Mehari (Francia) .) Tra (Canada) Nist 800-30 (EE.UU.UU.) Cramm (Reino Unido) Microsoft (EE.

Compatibilidad con los criterios de la ISO 27001. 5. Posibilidad de herramientas de software. apoyo. etc. Facilidad de uso . Documentación. 7.Factores en la Selección de la Metodología 1.). estudios. Existencia de material de comparación (métricas. 3. 2. casos. 6. . formación. Idioma del método. Costo de utilización. 4.

FASE II Planificación .

• Realizar evaluación de Riesgos • Conducir un análisis entre los riesgos identificados y las medidas correctivas existentes • Desarrollar un plan de tratamiento de riesgos • Desarrolla la declaración de Aplicabilidad .Desarrollar las actividades de planificación requeridas por la norma de manera metodológica y en concordancia con la política y objetivos del SGSI dentro del alcance del mismo.

Realizar Evaluación de Riesgos Inventario de Activos • Todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI • Se debe inventariar el nombre activo. • Se debe realizar la dependencia de activos . tipo. responsable y ubicación como campos mínimos.

Realizar Evaluación de Riesgos Inventario de Activos .

Realizar Evaluación de Riesgos Análisis de Riesgos • Análisis de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir. . que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo. estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.

Realizar Evaluación de Riesgos Análisis de Riesgos .

Plan de Tratamiento de Riesgos .

en definitiva. • Es. los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo. .Selección de Controles y SOA • Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección.

Redacción de la Declaración de Aplicabilidad .

FASE III Despliegue .

Desplegar las actividades de implementación del SGSI • Elaborar el plan de trabajo priorizado • Desarrollar documentos y registros necesarios • Implementar los controles seleccionados .

responsables. . generalmente se expresa por medio de un diagrama de gantt. recursos. • Estructura actividades. tiempos.Plan de Trabajo del SGSI • Un plan de trabajo es un instrumento de planificación.

Provisión de la capacitación.Plan de Capacitación 1. Definir las necesidades de capacitación. 3. 4. Diseño y planificación de la capacitación. Evaluación de los resultados de la capacitación. . 2.

Plan de Capacitación .

Plan de Capacitación La gran diferencia entre la formación y la concientización es que la capacitación tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones mientras que el objetivo de concientizar es centrar la atención en un interés individual o una serie de asuntos sobre la seguridad. .

Plan de Comunicación 1. Pensar cuál es la idea que queremos transmitir. 5. Determinar qué queremos conseguir. cuáles son nuestros objetivos. Fijar el presupuesto con el que contamos (cuánto). 2. 6. 4. 3. . Ejecutar el plan de medios y medir su impacto. Decidir a quién vamos a dirigir nuestra comunicación. Seleccionar los medios apropiados y su frecuencia de utilización.

Plan de Comunicación Partes Interesadas • • • • • • Clientes Proveedores Empleados Comunidades Medios de Comunicación Inversores El compromiso con las partes interesadas constituye una oportunidad para que una organización pueda conocer sus problemas e inquietudes. . puede llevar a que el conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y percepciones.

Controles de la ISO 17799 ahora 27002 .

FASE IV Revisión 82 .

• Monitorear el desempeño del SGSI • Fortalecer la gestión de incidentes • Desarrollar documentos y registros necesarios • Desarrollar las actividades para evidenciar la mejora continua .Realizar actividades de revisión del SGSI evidenciando el cumplimiento de los requisitos de la norma.

. • Corresponde a la empresa determinar qué es lo que necesita ser controlado y medido.Monitoreo Determinar los Objetivos de la Medición • La norma no indica lo que debe ser objeto de supervisión o medición. • Es una mejor práctica centrarse en la vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de seguridad de la información. • Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante.

. • Facilitar la mejora del rendimiento. • Verificación de la medida en que los requisitos identificados de la norma se han cumplido. • Aportar para la revisión de la gestión para facilitar la toma de decisiones y justificar las mejoras que necesita el sistema de gestión implementado.Monitoreo Objetivos de la Medición Los objetivos de la medición en el marco de un sistema de gestión incluyen: • Evaluación de la eficacia de los procesos y procedimientos implementados.

Monitoreo Tableros de Mando .

Educar a los usuarios acerca de los factores de riesgo que podrían causar incidentes de seguridad.Gestión de Incidentes 1. Tratar los incidentes de seguridad en la forma más adecuada y eficaz. . Mejorar la seguridad de los controles de la organización. 5. 4. Reducir el posible impacto de los incidentes sobre las operaciones de la organización. 3. 2. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia. Asegurarse de que los eventos de seguridad son detectados e identificados. 6.

FASE V Consolidación .

Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma. • Auditar internamente el SGSI • Implementar las acciones correctivas • Implementar las acciones preventivas pertinentes • Desarrollar. corregir y mejorar documentación nueva o existente .

Realizar actividades de auditoría.Auditoria Interna 1. Establecer la independencia. Asignar y administrar los recursos del programa de auditoría. objetividad e imparcialidad. 8. 6. 3. Crear procedimientos de auditoría. Designar al responsable. Seguimiento de no conformidades. 5. Crear el programa de auditoría interna 2. Planificación de las actividades. 7. . 4.

Tratamiento de Problemas y no
Conformidades
• Definir un proceso para resolver
problemas y no conformidades.
• Definir un procedimiento de acción
correctiva.
• Definir un procedimiento de acción
preventiva.
• Elaborar Planes de Acción.

FASE VI Certificación

Definiciones de la Certificación
• Organismo de Certificación:
Terceros que realizan la evaluación de
la conformidad de los sistemas de
gestión.
• Certificación: Procedimiento en el
cual un tercero garantiza por escrito
que un producto, proceso o servicio
es conforme a las condiciones
indicadas

Selección de la entidad certificadora. se fija en el diseño del SGSI. Confirmación de la inscripción. 3. Auditoria de Pre-evaluación. . 4. 5. Etapa 1 de la auditoria. si tuviera no conformidades. se lleva a cabo en la empresa. Auditoria de seguimiento.Proceso de Certificación 1. Etapa 2 de la auditoria. 6. 2.

GRACIAS POR SU ATENCION NO INSISTA ATENTAMENTE LA DIRECCION .Preguntas SI NO HAY PREGUNTAS.