Iso 27001 2013 PDF
Iso 27001 2013 PDF
Iso 27001 2013 PDF
27001:2013
Seguridad de la Informacin
Agenda
Mejora Continua
Seguridad de la Informacin
Gobierno de Seguridad de
la Informacin
El Gobierno de Seguridad de la Informacin est compuesto por
un conjunto de responsabilidades y practicas llevadas a cabo
mediante la junta ejecutiva con el objetivo de proporcionar la
direccin estratgica, asegurando que los objetivos se logran,
cerciorndose de que los riesgos se gestionan de manera
adecuada y asegurando que los recursos de la empresa son
usados responsablemente
Fuente: IT Governance Institute
Seguridad de la Informacin
Gobierno de Seguridad de
la Informacin
Seguridad de la Informacin
ISO 27014
La ISO-27014 indica seis principios de gobiernos de la seguridad de
informacin los cuales son:
Seguridad de la Informacin
ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de la
informacin en toda la organizacin.
La seguridad de la informacin se gestiona a un nivel de la organizacin que
permita la toma de decisiones?
Las actividades asociadas a la seguridad lgica y fsica se realizan de forma
coordinada?.
La responsabilidad y rendicin de cuentas con respecto a la seguridad se
establece a travs del ciclo completo de las actividades de la organizacin
incluidos terceros?.
Seguridad de la Informacin
ISO 27014
ISO 27014
Seguridad de la Informacin
ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos.
Se garantiza que las polticas y prcticas son conformes con la regulacin
y legislacin existente, con los compromisos y contratos de la organizacin
y con otros requerimientos internos o externos?.
Se realizan auditoras de seguridad independientes?.
Seguridad de la Informacin
ISO 27014
Seguridad de la Informacin
ISO 27014
6. Revisar el rendimiento en relacin a
los resultados de negocio.
Seguridad de la Informacin
ISO 27014
Seguridad de la Informacin
ENTRADA
Seguridad de la Informacin
Contexto de la
Organizacin
Liderazgo
Mejora
Planificacin
Evaluacin
Operacin
SALIDA
Fases de la Metodologa
Fases de la Metodologa
7 FASES
Contexto
organizacin
Liderazgo
Planificacin
Proyecto
del SGSI
Soporte
Operacin
Evaluacin
Mejora
Seguridad de la Informacin
Implantacin del
SGSI
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Fases de la Metodologa
Contexto
organizacin
Seguridad de la Informacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin
Mejora
Comprensin de la Misin,
Objetivos, Valores y Estrategias
Misin
Valores
Estrategias
Alineamiento
Objetivos
Polticas Corporativas
Seguridad de la Informacin
Estratgico
Los
objetivos
De
La
Seguridad
de la
Informacin
Polticas de Seguridad de
la Informacin
Debilidades
Oportunidades
Seguridad de la Informacin
Amenazas
Seguridad de la Informacin
Activos de
Informacin Claves
Oferta de Productos
y servicios
Procesos de
Negocios
Cules so los
Procesos claves que
Permiten a la
Organizacin cumplir
Con su misin?
Seguridad de la Informacin
Seguridad de la Informacin
Documentos
Seguridad de la Informacin
Gestin de Riesgos
Seguridad de la Informacin
Qu cambia en la gestin
de riesgos?
Seguridad de la Informacin
Qu cambia en la gestin
de riesgos?
No se debe dejar de lado el identificar a los
propietarios de activos. Aunque la norma ISO
27001: 2013 no requiere que usted identifique
los propietarios de activos como parte de la
evaluacin del riesgo, el control A.8.1.2 Control
lo requiere.
Seguridad de la Informacin
Qu cambia en la gestin
de riesgos?
Se puede identificar los riesgos en funcin de
sus procesos, en funcin de sus
departamentos, utilizando slo las amenazas y
vulnerabilidades no, o cualquier otra
metodologa
Es necesario identificar los propietarios del
riesgo.
Qu cambia en la gestin
de riesgos?
Las opciones de tratamiento en la revisin
2013 no slo se limitan a la aplicacin de los
controles, la aceptacin de riesgos, evitando
los riesgos, y la transferencia de riesgos como
lo fueron en la revisin de 2005 - bsicamente,
usted es libre de considerar cualquier opcin
de tratamiento que crea apropiado.
Seguridad de la Informacin
Qu cambia en la gestin
de riesgos?
Seguridad de la Informacin
Indicadores de gestin
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin
Documento
Documento Indicadores del SGSI
Seguridad de la Informacin
Mejora Continua
Seguridad de la Informacin
Revisin de Documentos
Seguridad de la Informacin
Revisin de Controles
Seguridad de la Informacin
Preguntas antes de
contratar a un consultor
1. Cul es su experiencia en su industria en particular?
2. Cuntos clientes tena? Qu tipo de clientes que ha servido? Puede
proporcionar una lista de referencias?
3. Cul es su reputacin - lo que hacen los otros consultores dicen de l;
qu dicen sus clientes acerca de l?
4. Cul es su experiencia (negocio), adems de la norma ISO 27001 y / o ISO
22301?
5. Cul es su experiencia en otras normas ISO?
6. Habla su idioma a la perfeccin?
7. Tiene algn conflicto de inters?
Seguridad de la Informacin
Preguntas antes de
contratar a un consultor
1. Cuntos proyectos de implantacin ISO 22301 27001 / ISO ha termin con xito en
los ltimos dos aos?
2. Cuntos de sus clientes solicitaron la certificacin, y cuntas eran con xito la
norma ISO 27001 / ISO 22301 certificada (en su primer intento)?
3. Cul fue la parte ms compleja del proyecto ISO 27001 / ISO 22301 que ha tenido?
Puede describir brevemente?
4. Cul es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo
que los certificados tiene?
5. l entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, cuntos
entrenamientos tena que prev, para cuntas personas?
6. Alguna vez ha publicado ninguno de los artculos de expertos? Cuntas y dnde?
7. Trabaj como auditor de certificacin?
8. Puede que le muestre ejemplos de la documentacin de evaluacin del riesgo que
l cre para algunos de sus clientes?
Seguridad de la Informacin
Preguntas antes de
contratar a un consultor
1. Cul es el precio total de sus servicios (asegrese de que
incluye todo: anlisis, entrevistas, desarrollo de
documentacin, capacitacin, costos de transporte, etc.)?
2. Cules son los servicios adicionales que usted tendr que
comprar a otros proveedores?
3. Cul es el costo de su tiempo de los empleados que
participan en el proyecto?
Seguridad de la Informacin
Preguntas
Seguridad de la Informacin
Seguridad de la Informacin