Transcription of ISO/IEC 27001 Gestión de la seguridad de la …
1 ISO/IEC 27001 . Gesti n de la seguridad de la informaci n Ing. Marco Antonio Paredes Poblano Qu es informaci n? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. escrita en im genes oral La informaci n impresa en papel puede estar almacenada electr nicamente Proyectada enviada por correo, fax o e- mail transmitida en conversaciones nube seguridad de la informaci n Consiste en la preservaci n de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizaci n. La informaci n no se pone a Confidencialidad disposici n ni se revela a individuos, entidades o procesos no autorizados. Mantenimiento de la exactitud y Integridad completitud de la informaci n y sus m todos de proceso.
2 Acceso y utilizaci n de la informaci n y los sistemas de tratamiento de la Disponibilidad misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. establecer implementar un sistema de gesti n de Norma seguridad de la internacional que mantener informaci n (SGSI). establece mejorar requisitos para brinda la preserva la confianza sobre la confidencialidad gesti n adecuada integridad de los riesgos a disponibilidad las partes de la informaci n interesadas mediante un proceso de gesti n de riesgos Qu es un SGSI? Dado el conocimiento del ciclo de vida de cada informaci n relevante se debe adoptar el uso de un proceso sistem tico, documentado y conocido por toda la organizaci n, desde un enfoque de riesgo empresarial.
3 Este proceso es el que constituye un SGSI. Evoluci n ISO. 27002 1992 1999 2000 2005 2007 2013. Code of BSI 7999 ISO/IEC ISO/IEC ISO/IEC ISO/IEC . Practice for Information British 17779 17779 27002 27002. Standards Security Institute ISO ISO ISO ISO. Management (BSI). Gobierno 2007 2016. Brit nico BSI 7999 ISO. British 27799. Standards Institute (BSI). 2002 2005 2013. BSI 7999-2. ISO British ISO/IEC ISO/IEC . 27001 27001 27001 . Standards ISO ISO. Institute (BSI). Familia ISO 27000. ISO/IEC 27000:2014 ISO/IEC ISO/IEC ISO/IEC . Fundamentos 27001 :2013 27002:2013 27003:2010. y vocabulario Requisitos Mejores Gu a de para pr cticas implementaci certificaci n - n ISO/IEC ISO/IEC ISO/IEC ISO/IEC . 27004:2009 27005:2011 27006:2011 27007:2011.
4 Recomendacio Recomendacion Requisitos Directrices nes sobre es proceso de acreditaci n para auditar medidas de gesti n de organismos un SGSI. seguridad riesgos de certificaci n Establecimiento de un SGSI. 1 Definici n de 4 Identificaci n 7 Selecci n de alcance del SGSI de riesgos ( ) objetivos y ( ). controles para el tratamiento de riesgos ( ). 2 5 8. Definici n de Valoraci n de Elaboraci . pol tica del SGSI Riesgos n de ( ) ( ) ( ) Declaraci n de Aplicabilidad ( ). Identificaci n y Definici n de selecci n de proceso 3 6 opciones 9 Aceptaci n del sistem tico para el riesgo residual para la tratamiento de por parte de la evaluaci n de riesgos ( ) Direcci n ( ). riesgos ( ). ( ). Cambio: anexo SL.
5 Adopci n del Anexo SL (lo que era antes la Gu a ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gesti n gen rico; ayudando a las empresas que por alguna raz n deben certificar m ltiples normas de sistemas de gesti n. De esta forma ISO. 27001 cumple con los requisitos comunes a todo sistema de gesti n, facilitando la implementaci n y auditoria de varios sistemas en la misma organizaci n. Ventajas de implantar un SGSI. basado en la ISO 27001 . Garantizar la confidencialidad, integridad y disponibilidad de informaci n sensible. Disminuir el riesgo, con la consiguiente reducci n de gastos asociados. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.
6 Mejorar continuamente la gesti n de la seguridad de la informaci n. Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen corporativa. Incremento de la confianza de las partes interesadas. Aumento de la rentabilidad, derivado de un control de los riesgos. Cumplir la legislaci n vigente referente a seguridad de la informaci n. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicaci n y participaci n del personal en la gesti n de la seguridad . Posibilidad de integraci n con otros sistemas de gesti n como ISO 9001, ISO14001, OHSAS 18001, entre otros. Mejorar los procesos y servicios prestados. Aumentar de la competitividad por mejora de la imagen corporativa.
7 Conclusiones M s all de los cambios en el est ndar, lo m s importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben ser interpretados de acuerdo al contexto de cada empresa. Conclusiones La implantaci n de un SGSI basado en ISO 27001 , supone el conocimiento de la organizaci n en su conjunto y de los riesgos a los que se encuentra expuesta, de manera que se asuman y se trabaje en su minimizaci n y control de manera sistem tica, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gesti n como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integraci n se hace m s sencilla con esta nueva versi n ISO 27001 :2013.
8 Ya est vigente la nueva versi n ISO 27001 :2013 que sustituye a la anterior ISO 27001 :2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la informaci n en la organizaci n, que se traducen en un mejor servicio con una menor inversi n Preguntas ??
