ISO 27001
Pablo Antonio Palacios
Medinacelli
Introduccion
La información tiene una importancia
fundamental para el funcionamiento y quizá
incluso sea decisiva para la supervivencia de una
organización. El hecho de disponer de la
certificación según ISO/IEC 27001 le ayuda a
gestionar y proteger sus activos de información.
ISO 27001
• Publicada el 15 de Octubre de 2005.
• Es la norma principal de la serie 27000 y
contiene los requisitos del sistema de gestión de
seguridad de la información (SGSI).
• Controles
Ciclo de Deming: PCDA
•
•
•
•
Plan
Do
Check
Act
Usos
• Uso dentro de las organizaciones para formular
requerimientos y objetivos de seguridad.
• Uso dentro de las organizaciones como una forma
de asegurar que los riesgos de seguridad están
gestionados efectivamente.
• Uso de las organizaciones para proveer a los clientes
información relevante acerca de la seguridad de
información.
• Uso de parte de la gerencia de la organización para
determinar el estado de las actividades de la
administración de la seguridad de la información.
SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
(SGSI)
• Es un conjunto de políticas de administración de
la información.
• Como todo proceso de gestión, un SGSI debe
seguir siendo eficiente durante un largo tiempo.
• Ayuda a proteger los activos de información y
otorga confianza a cualquiera de las partes
interesadas.
CONTROLES
• Un “Control” es lo que permite garantizar
que cada aspecto, que se valoró con un
cierto riesgo, queda cubierto y auditable.
Controles
Política de seguridad.
• Política de seguridad (Nivel político o
estratégico de la organización)
• Plan de Seguridad (Nivel de planeamiento o
táctico)
Controles
Organización de la información de
seguridad.
• Organización Interna
• Partes externas
Controles
Administración de recursos
• - Responsabilidad en los recursos
• - Clasificación de la información
Controles
Seguridad de los recursos humanos.
• Antes del empleo
• -Durante el empleo
• -Finalización o cambio de empleo
Controles
Seguridad física y del entorno
• - Áreas de seguridad
• - Seguridad de elementos:
¿QUIÉNES LA UTILIZAN?
• La norma es particularmente interesante si la
protección de la información es crítica, como en
finanzas, sanidad sector público y tecnología de
la información.
• También es muy eficaz para organizaciones que
gestionan la información por encargo de otros.
BENEFICIOS
• Establecimiento de una metodología de gestión
de la seguridad clara y estructurada.
• Los riesgos y sus controles son continuamente
revisados.
• Imagen de empresa a nivel internacional y
elemento diferenciador de la competencia.
IMPLEMENTACIÓN
• Suele tener una duración entre 6 y 12 meses
• En general, es recomendable la ayuda de
consultores externos.
• Seguridad informática, derecho de las nuevas
tecnologías, protección de datos y sistemas de
gestión de seguridad de la información.
Descargar

ISO 27001