Norma Iso 27001.pptx

Transcript

NORMA ISO27001:2014 ELABORADO POR: ISAURA GUADALUPE SARMIENTO PANTI NORMA ISO 27001:2014 El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven una revolución tecnológica tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a un avance en las tecnologías conocidas como !AC "las siglas inglesas de social, móvil, analíticas y nu#e$. %racias a la Asociación Espa&ola de 'ormalización "AE'()$, entidad líder en certi*cación de istemas de %estión, +roductos y ervicios, y responsa#le del desarrollo y difusión de las normas 'E, ya se cuenta con la -ltima versión de la norma UNE-ISO/IEC 27001:2014 dedicada 27001:2014 dedicada a la gestión de la seguridad seguridad de la información en las empresas. empresas. ¿QUÉ ES LA NORMA ISO 27001:2014? ISO 27001 es una norma internacional emida por la Organización Internacional de Normalización (ISO) y describe cómo gesonar la seguridad de la inormación en una empresa! "a re#isión m$s reciente de esta norma ue publicada en 201% y a&ora su nombre completo es ISO'I 27001*201%! OBJETO Y CAMPO DE APLICACIÓN NORMA ISO 27001:2014 sta norma norma internacional internacional especi+ca los riesgos para para el establecimiento establecimiento,, implementación, implementación, mantenimiento mantenimiento y me-ora connua de un sistema de gesón de seguridad de la inormación inormación en el conte.to de la organización! sta norma tambi/n incluye los reuisitos para la apreciación y el tratamiento de los riesgos de la seguridad de la inormación a la medida de las necesidades de la organización! "os reuisitos establecidos en esta norma internacional son gen/ricos y aplicables a todas las organización, cualuiera ue sea su po, tamao o naturaleza! S  /a nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” a!o el A"e#o S$ utilizado S$ utilizado en todas las normas de istemas de %estión que posi#ilita su incorporación con otros sistemas "calidad, medio am#iente o salud en el tra#a0o$ de forma m1s sencilla.  (tra novedad es que la nueva versión de la norma intensi*ca y re%uer&a la 'e!ora co"ti"ua, co"ti"ua , fundament1ndose en el ciclo (e'i") o *+,A "+lani*car, *+,A "+lani*car, 2acer, 3eri*car y Actuar$.  4estaca una 'aor co"sideraci."  releva"cia de la or)a"i&aci.", or)a"i&aci." , al liderazgo y compromiso de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a la de*nición y seguimiento de los o#0etivos de seguridad de la información.  /a nueva versión ISO27001 incluye 556 controles respecto a los 577 de la ISO/IEC 27001:200 que estudian reforzar los an1lisis relacionados relacionados a la criptografía criptografía y con los proveedores. ANEXO ISO 27001:2014.DOMINIO TOTAL DE CONTROLES A.5 Polítcas d S!"#$dad d la I%&o#'ac$(% "a ol3ca de Seguridad de la Inormación de una organización debe de+nir las decisiones ue &a tomado la organización organización en relación a la seguridad del almacenamiento y procesamiento procesamiento de la inormación! ste con-unto de decisiones deber3a basarse en reuisitos legales y regulatorios, en la demanda del mercado, en los ob-e#os de negocio y en la +loso4a y cultura de la empresa! n base a la ol3ca de Seguridad de la Inormación se tomar$n muc&as medidas de seguridad y se de+nir$n otras pol3cas y documentos y todos deber$n estar alineados con la ol3ca de Seguridad de la Inormación! Inormación! 5odos los miembros de la organización, deben conocer la ol3ca de Seguridad de la Inormación y deben comprometerse a cumplirla! A.) O#!a%$*ac$(% d la S!"#$dad d I%&o#'ac$(% O+,t-o: stablecer un marco de reerencia de gesón para iniciar y controlar la implementación y operación de la seguridad de la inormación dentro de la organización!  "a gesón de la seguridad de la inormación debe realizarse mediante un proceso sistem$co, documentado y conocido por toda la organización! 6 na ol3ca de Seguridad de Inormación 6 n 8esponsable de Seguridad de Inorma I normación ción 6 n omit/ de 9esón de Seguridad de Inormación Ob-e#o* stablecer un marco de reerencia de gesón para iniciar y controlar la implementación y operación de la seguridad de la inormación inormación dentro de la organización! organización! A.7 S!"#$dad % los Rc"#sos Rc"#sos "'a%os contrastas enenden sus responsabilidades y son O+,t-o: :segurar ue los empleados y contrastas con#enientes para los roles para los ue se les considera! "a seguridad en esta gesón debe tener en cuenta la selección y contratación, contratación, la ormación de empleados y la salida de la empresa! A./ st(% d Act-os apropiadas O+,t-o: Iden+car los ac#os de la organización y de+nir responsabilidades de protección apropiadas 8esponsabilidad por los :c#os* "ograr mantener la protección adecuada de los ac#os de la organización! organización! 5odos 5odos los ac#os se deben incluir y deben tener un dueo designado! Se deben iden+car los dueos para todos los ac#os y asignar la responsabilidad para el mantenimiento de los controles controles adecuados! A. Co%#ol d Accsos Ob-e#o* "imitar el acceso a la inormación inormación y a las instalaciones de procesamiento procesamiento de la inormación! inormación! omo parte de este dominio se desarrollan los lineamientos para la pol3ca de control de acceso, la gesón de accesos de usuarios, los controles de acceso a la red, al sistema opera#o, opera#o, a las aplicaciones y a la inormación! :dem$s incluye las consideraciones consideraciones para el mane-o de ordenadores port$les port$les y teletraba-o! A.10 C#$3o!#aa Ob-e#o* :segurar el uso apropiado y eec#o de la criptogra4a criptogra4a para proteger la con+dencialidad, autencidad y'o integridad de l a inormación! "a introducción de alg;n control ene ue determinarse siempre conorme a la iden+cación de cualuier riesgo ue la empresa no asume, y cuya in#ersión in#ersión no puede llegar a m$s ue el #alor del ac#o el cual se protege, por lo ue entonces no llegar3a a ser rentable! A.11 S!"#$dad ís$ca 6 A'+$%al A'+$%al   Ob-e#o* Impedir acceso 4sico no autorizado, dao e intererencia a la inormación y a las instalaciones de procesamiento de la inormación de la organización! "os instalaciones ue est/n in#olucradas con los ac#os de inormación deben cumplir con las normas de seguridad 4sica y ambiental, para garanzar ue la inormación mane-ada en /stas permanezca siempre protegida de accesos 4sicos por parte de personal no autorizado o por actores ambientales ue no se puedan controlar! A.12 S!"#$dad % las O3#ac$o%s Ob-e#o* :segurar ue las operaciones de instalaciones de procesamiento de la inormación sean correctas y seguras! A.1 S!"#$dad % las Co'"%$cac$o%s O+,t-o: :segurar la protección de la inormación en las redes y sus instalaciones de procesamiento procesamiento de la inormación de apoyo! Ma%,o d los Md$os #itar la di#ulgación, modi+cación, rero o destrucción de ac#os no autorizada, y la interrupción en las ac#idades del negocio! stos medios se deber3an controlar y proteger de orma 4sica! Intercambio de la Inormación are ue se intercambian dentro de la organización y con cualuier endad e.terna! Intercambio de la Información are ue se intercambian intercambian dentro de la organización organización y con cualuier endad e.terna! A.14 Ad8"$s$c$(%9 Dsa##ollo 6 Ma%%$'$%o Ma%%$'$%o d S$s'as O+,t-o: 9aranzar ue la seguridad de la inormación es una parte integral de los sistemas de inormación a tra#/s del ciclo de #ida completo! sto tambi/n incluye los reuisitos para sistemas de inormación inormación ue proporcionen proporcionen ser#icios sobre redes p;blicas! ste domino est$ dirigido a auellas organizaciones ue desarrollen so=>are internamente o ue tengan un contrato con otra organización ue sea la encargada de desarrollarlo! Se ene ue establecer los reuisitos en la etapa de implementación o desarrollo del so=>are para ue sea seguro! A.15 Rlac$o%s co% P#o-do#s protección a los ac#os de la organización organización ue son accesibles por los pro#eedores! pro#eedores! O+,t-o: :segurar protección (8S) 8esponsabilidad Social mpresarial* mpresarial* ?@acer negocios basados en principios /co y apegados a la ley ! "a empresa (no el empresario) ene un rol ante la s ociedad, ante el entorno en el cual opera! A.1) st(% d I%c$d%s d S!"#$dad d la I%&o#'ac$(% I%&o#'ac$(% O+,t-o: :segurar un enoue consistente y eec#o a la gesón de incidentes de seguridad de la inormación, incluyendo la comunicación sobre e#entos de seguridad y debilidades! % $%c$d% d s!"#$dad s "% -%o o "% co%,"%o d -%os9 %o dsados o %o s3#ados9 8" t%% "%a 3#o+a+$l$dad s$!%$;cat-a d co'3#o'# las o3#ac$o%s d %!oc$o 6 a'%a*a# la s!"#$dad d la $%&o#'ac$(%. l procedimiento de gesón de incidencias debe documentar cl$ramente los roles y responsabilidades de los actores parcipantes! A.17 Aspectos de la Seguridad de la Información dentro de la Continuidad el Negocio Objetivo: "a connuidad de seguridad de la inormación debe estar embebida en los sistemas de gesón de connuidad del negocio de la organización! A.1/ C"'3l$'$%o inracciones de las obligaciones legales, estatutarias estatutarias , regulatorias regulatorias o contractuales contractuales relacionadas O+,t-o: #itar inracciones a la seguridad de la inormación inormación y a cualuier reuisito de seguridad!