BARCELONA
Juan Carlos Serrano Antn
Rble. de la Unidad Tcnica de Seguridad de la Informacin
Lead Auditor ISO 27001, ISO 20000, ISO 9001
Conceptos y Definiciones de
Seguridad de la Informacin
Conceptos de Seguridad
organizacin,produciendo daos
inmateriales en sus activos.
prdidas
materiales
una amenaza.
CONTROL: Prctica, procedimiento o mecanismo que reduce el
nivel de riesgo.
OCA Certificacin
MAYO 2013
Conceptos de Seguridad
Seguridad Informtica.
Son medidas encaminadas a proteger el hard,
soft y
comunicaciones de los equipos informticos. NO gestiona
Contempla aspectos:
Fsicos (instalaciones)
Telecomunicaciones (protocolos seguros, encriptacin,
firewall)
De acceso al sistema.
Copias de Seguridad
No las personas, No los contratos, No clasifica la
informacin
OCA Certificacin
MAYO 2013
Conceptos de Seguridad
Seguridad de la informacin.
Son medidas encaminadas a proteger la informacin,
independientemente del soporte en el que se encuentre, contra
cualquier amenaza, de tal manera que podamos asegurar la
continuidad de las actividades de la empresa, minimizar el perjuicio
que se pudiera causar y maximizar el rendimiento del capital
invertido.
Se caracteriza por preservar:
Confidencialidad
Integridad
Disponibilidad
OCA Certificacin
MAYO 2013
Historia de la Normas
Revisin y
acercamiento a:
ISO 9001
ISO 14000
Certificable
Normal
Internacional
BS 7799-2
BS 7799-2
:2002
ISO/IEC 27001
:2005
BS 7799-2
:1999
Cdigo de
prcticas
para
usuarios
Centro de
Seguridad de
Informtica
Comercial del
Reino Unido
(CCSC/DTI)
1989
Revisin
conjunta de las
partes 1 y 2
PD0003
Cdigo de
prcticas
para la
gestin de la
seguridad de
la
informacin
BS 7799-1
:1999
BS 7799
ISO/IEC 27002
:2007
Revisin peridica
(5 aos)
ISO/IEC 17799
:2000
ISO/IEC 17799
:2005
1990
(Fast Track)
1991
1992
1993
1994
1995
1996
1997
1998
OCA Certificacin
1999
2000
2001
MAYO 2013
2002
2003
2004
2005
2006
2007
Normas
La serie ISO 27000
ISO 27000. Fundamentos y vocabulario
ISO 27001:2005. Requisitos de los Sistemas de Gestin de Seguridad
de la Informacin
ISO 27002:2007. Buenas prcticas para la Gestin de Seguridad de la
Informacin. (Anterior ISO 17799:2005)
ISO 27003:2010. Gua de implantacin de un SGSI
ISO 27004:2009. Mtricas e indicadores de eficiencia y efectividad de
los controles
ISO 27005.:2008 Gestin del riesgo en Seguridad de la informacin
(BS-7799:3)
ISO 27006:2007 Requisitos de acreditacin de las entidades de
certificacin de SGSI
OCA Certificacin
MAYO 2013
Normas
informacin en la TELECOMUNICACIONES
OCA Certificacin
MAYO 2013
Elementos de xito
en la Seguridad de la Informacin
El xito en la 27001:2005
OCA Certificacin
MAYO 2013
11
Participacin activa de
Comit de seguridad, etc.
la
Direccin.
OCA Certificacin
MAYO 2013
12
OCA Certificacin
MAYO 2013
13
El enfoque
Enfoque de la implantacin
No hay que intentar el asegurar toda la
Organizacin de una vez, es preferible
hacerlo en fases y en reas concretas de
la Organizacin.
La experiencia adquirida permitir
implantaciones en otras reas de una
forma ms rpida y eficaz
OCA Certificacin
MAYO 2013
15
BENEFICIOS DE LA IMPLANTACION
OCA Certificacin
MAYO 2013
16
OCA Certificacin
MAYO 2013
17
Amenaza
Vulnerabilidad
Requisito legal
o de negocio
Riesgos
Evaluacin del riesgo
OCA Certificacin
Gestin de polticas
MAYO 2013
18
OCA Certificacin
MAYO 2013
19