Documente Academic
Documente Profesional
Documente Cultură
SISTEMAS DE
INFORMACIÓN
INTEGRANTES
GUTIERREZ HUALLPA
VILLANUEVA TACO LLAMUCA
RUBEN ANGELES LUIS ANGEL
STIVEN
RANDY
VELÁZQUES TORRES
HUAMAN BENAVIDES
DIEGO JESÚS
ANDRÉS
SGSI 27000,
27001 y 27032
ISO
27000
Es un conjunto de estándares internacionales sobre la
Seguridad de la Información. La familia ISO
01
27000 contiene un conjunto de buenas prácticas para el
establecimiento, implementación, mantenimiento y
mejora de Sistemas de Gestión de la Seguridad de la
Información.
Dentro de una organización se
establecen y gestionan una
serie de tareas relacionadas
entre sí y que necesitan estar
coordinadas entre sí de forma
eficiente para conseguir el
propósito de la organización.
ENFOQUE DE PROCESOS
Hoy en día, los activos de información son vitales dentro de una organización para la consecución de
sus objetivos por lo que se deben abordar los riesgos para la seguridad de la información que afecten a
estos activos.
Realizare una evaluación de riesgos para la seguridad de la información identificados para cada activo de
información.
Implementar un plan de tratamiento de riesgos de forma ponderada teniendo en cuenta los resultados de la
evaluación de riesgos.
Contar con una herramienta sistemática para implantar un SGSI que responda a las necesidades de cualquier
organización o negocio.
Permite integrar de forma coherente los objetivos de la seguridad de la información con los objetivos del
negocio, los procesos, la gestión de la organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una organización.
Establecen un lenguaje común para la seguridad de la información y que además permite la certificación de
un SGSI por entidades de organismos acreditados.
Promueve la confianza de las partes interesadas.
Mejoras las expectativas de los resultados de la organización y ayuda a rentabilizar las inversiones en
seguridad de la información.
Permite adoptar las mejores prácticas internacionalmente aceptadas para la seguridad de la información y
adaptarlas a las necesidades de cada organización.
CONSEJOS BÁSICOS
Reservar la dedicación necesaria
Mantener la sencillez y diaria o semanal.
restringirse a un alcance
manejable y reducido.
La certificación como
objetivo.
Comprender en detalle el
proceso de implantación.
La autoridad y compromiso
decidido de la Dirección de la
empresa.
Registrar evidencias.
IMPLANTACION •
•
Definir alcance del SGSI.
Definir política de seguridad
• Metodología de evaluación de • Definir plan de tratamiento de
riesgos. riesgos.
• Inventario de activos. • Implantar plan de tratamiento
• Identificar amenazas y de riesgos.
vulnerabilidades. • Implementar los controles.
• Compromiso de la
• Identificar impactos. • Formación y concienciación.
Dirección.
• Análisis y evaluación de riesgos. • Operar el SGSI
• Planificación.
• Selección de controles y SOA
• Fechas.
• Responsables.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el
AN DO SGSI.
PL • Check (verificar): monitorizar y revisar
el SGI.
Arranque del Proyecto • Act (actuar): mantener y mejorar el SGSI
K
• Implantar mejoras. AC EC • Revisar el SGSI.
• Acciones correctivas. T CH
• Medir eficacia de los controles.
• Acciones preventivas.
• Revisar riesgos residuales.
• Comprobar eficacia de las
• Realizar auditorías internas del SGSI.
acciones.
• Registrar acciones y eventos.
ISO
27001
Norma internacional que permite el
aseguramiento, la confidencialidad e
02
integridad de los datos y de la
información, así como de los
sistemas que la procesan
TABLA DE CONTENIDOS
01 02
ASPECTO
03
FASES DE UN S CLAVES ANALISIS Y
SGSI DE UN EVALUACION DE
SGSI RIESGOS
ASPECTOS CLAVES DE UN SGSI
BASADO EN LA NORMA ISO
27001
PLANIFIC HACE
AR R
Definir la política de seguridad Implantar el plan de gestión de
Establecer al alcance del SGSI Realizar riesgos Implantar el SGSI
el análisis de riesgo Seleccionar los Implantar los controles
controles Definir competencias
Establecer un mapa de procesos Definir
autoridades y responsabilidades
CONTROL ACTU
AR AR
Revisar internamente el SGSI Adoptar acciones correctivas
Realizar auditorías internas Adoptar acciones de mejora
del SGSI
Poner en marcha indicadores y
métricas Hacer una revisión
por parte de la Dirección
FASES DE LA NORMA ISO
27001
01 03
Identificación, y Identificación y
clasificación de las valoración de impactos
amenazas
CRITICIDAD DEL RIESGO
RIESGO
ACEPTABLE
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es
posible ni tampoco resultaría rentable.
RIESGO
RESIDUAL
Se trata del riesgo que permanece y subsiste después de
haber implementado los debidos controles.
COMPROMISO DEL
LIDERAZGO
La norma ISO 27001 otorga un peso cualitativo muy importante a la
Dirección, la cual debe ejercer el liderazgo del sistema de seguridad.
A partir de aquí, se debe establecer un plan de trabajo en el que quede
perfectamente definida la segregación de tareas.
Controles operacionales
DEFINICION DE UN PLAN DE
TRATAMIENTO DE LOS RIESGOS O
ESQUEMA DE MEJORA
ESTABLECIMIENTO DE UN RANGO PARA
CADA CONTROL
Existe alguna medida de
seguridad pero no se ha
No hay establecida ninguna Existen una serie de medidas
establecido una pauta
medida de seguridad. establecidas, pero no se ha
concreta ni
determinado una evaluación de
periodicidad.
las mismas.
—RANGO 1 —RANGO 2 —RANGO 3
Es necesario fijar unos objetivos para Otro aspecto básico es que estos objetivos deben ser
eficientemente comunicados al conjunto de los
la gestión de riegos, los cuales deben
empleados de la empresa, puesto que todos los
poder ser medibles, aunque no es profesionales deben ser conscientes de que
necesario que sean cuantificables. participan en un objetivo común
Con el objetivo de que las empresas gestionen eficazmente los documentos, la norma ISO 27001 exige la
aplicación de un método sistemático para su manejo, así como la redacción de un procedimiento para su
gestión.
AUDITORIAS INTERNAS Y REVISION
POR LA DIRECCION
PLAN DE
AUDITORIAS AUDITORIA REVISION POR
INTERNAS INTERNA LA DIRECCIÓN
Auditoria interna
Existen dos grandes tipos de auditorías internas:
- Gestión: Donde se supervisa el liderazgo, el contexto, etc.
- Controles: En este caso se auditan los 113 controles, normalmente se
realiza por personal más experto y puede realizarse en años distintos.
Poner en marcha procesos de identificación automática de los riesgos a los que está expuesto cada
organización.
Alinear cada riesgo con propuestas de posibles controles para conseguir reducir los riesgos de las
compañías.
Realizar proyecciones y simulaciones que permitan visualizar los resulta- dos que se podrían
obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos.
SECTORES MAS INTERESADOS EN LA
IMPLEMENTACION DE ESTE SISTEMA
Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación de un
SGSI en cualquier empresa u organización, con independencia de su tamaño o sector, resulta
especialmente interesante, y casi necesaria, en los siguientes sectores:
Salud
Sector publico
Sector financiero
—SECTOR —SECTOR —SECTOR
SALUD PUBLICO FINANCIERO
Algunas ventajas de la certificación ISO
El sector público y la administración en
son:
La información que manejan es general también son ámbitos muy
especialmente crítica y confidencial. interesados en la esta norma ISO
Lograr ventaja competitiva.
Los requisitos y medidas planteados 27001. El principal motivo es que
por la ISO 27001 garantizan la permiten poner en marcha sistemas y
Garantizar la gestión de la calidad.
confidencialidad y seguridad de la protocolos que garanticen la
información de los pacientes y confidencialidad y gestión adecuada
Controlar y reducir los riesgos
trabajado- res ante cualquier de la gran cantidad de datos que
operativos y comerciales.
amenaza. manejan, muchos de ellos personales
En todo momento se preserva la y con un alto nivel de criticidad.
Cumplir con la legislación y
confidencialidad, integridad y
normativa de cada país y sector.
disponibilidad de la información.
Poner en marcha procesos de mejora
continua.
ISO
27032
La Organización Internacional de Normalización (ISO por sus siglas en
inglés) ha anunciado la creación del estándar ISO/IEC 27032 para
la ciberseguridad. La organización ha explicado que pretende
03
garantizar la seguridad en los intercambios de información en la
Red con este nuevo estándar, que puede ayudar a combatir el
cibercrimen con cooperación y coordinación.
CIBERESPACIO
La seguridad en Internet
y en el ciberespacio nos
preocupa a todos (partes
interesadas). Cada vez
hay más presencia en el
Es un ambiente en donde ciberespacio, sitios web y
interactúan los seres otras aplicaciones tienden
humanos, el software y los a aprovechar este nuevo
servicios que en Internet mundo virtual (ISO
se ofrecen (ISO 27032). 27032).
—POR OTRA —ADEMÁS
PARTE
Hay aspectos relacionados con la
seguridad de la información que no
El ciberespacio es un ambiente
están cubiertos por las mejores
complejo resultante de la
prácticas existentes y una falta de
interacción de las personas, el
comunicación entre las
software y los servicios de
organizaciones y los proveedores en
Internet soportados estos por el
el ciberespacio. Esto ha creado una
hardware y las redes de
especie de fragmentación y
comunicaciones(ISO 27032).
convergencia de múltiples niveles de
seguridad en donde el menor de
estos es el que prevale.
El Ciberespacio es un ambiente
en donde interactúan los seres
humanos, el software y los
servicios que en Internet se
ofrecen (ISO 27032).
Relaciones de ISO 27032 con otras prácticas o
normas
La seguridad en Internet y en el
ciberespacio nos convoca a todos.
La presencia actual de las
organizaciones en este espacio crea
unos beneficios pero también unos
riesgos.
Involucrados en el ciberespacio
RIESG
OS
PERSONAS
ORGANIZACI
REDES
ONES
MUNDO VIRTUAL
HARDWARE
INTERNET
Y SOFTWARE
Riesgos
La exposición de
información en las
redes sociales conlleva
riesgos. (Pérdida de
privacidad)
Amenazas posibles en el ciberespacio
Malware
Spyware
Troyanos
APT (advancedpersistantthreat)
Riesgos HACKIN
G
La convergencia de las
tecnologías de
información y de las
comunicaciones han
propiciado diferentes
tipos de ataques cada PHISHIN SPYWAR
G E
vez más sofisticados:
Riesgos en las
transacciones
comerciales
de:
ISO 27032
propone tres
estrategias para
mitigar estos
riesgos que son:
Además la
norma ISO
a ci r
ón
orm rti
Co uesta
inf mpa
res
ord
27032
p
Co
ina
proporciona
r
s
un marco
para: Gestionar
incidentes
OBJETO Y CAMBIO DE
APLICACION
La Ciberseguridad ISO 27032
comprende a la(s):
1.Objetivos de la Seguridad en la información
DISPONIBILIDAD
CONFIDENCIALIDA INTEGRIDAD
La disponibilidad se define como el
D funcionamiento continuo de los
La confidencialidad se refiere a la La Integridad se refiere a la certeza de
protección de los datos ante una sistemas de información. Las que los datos no son destruidos o
revelación no autorizada a terceras aplicaciones requieren distintos alterados de una forma no autorizada.
partes. Una empresa es responsable niveles de disponibilidad, Por ejemplo, la integridad se consigue
de proteger la privacidad de sus dependiendo del impacto comercial cuando el mensaje enviado es
datos, entre los que puede haber datos del tiempo de inactividad (no es lo idéntico al mensaje recibido. Deben
de clientes y datos internos de la mismo que falle la intraweb que la tomarse medidas para garantizar la
empresa. aplicación de venta de entradas…). integridad de todos los datos,
Para que una aplicación esté independientemente de si los datos
disponible, todos los componentes son confidenciales.
deben proporcionar un servicio
continuo. Esos componentes pueden
ser servidores de aplicaciones o de
bases de datos, dispositivos de
almacenamiento y la red extremo a
extremo.
2.Seguridad en las Aplicaciones a nivel de:
RESULTAD
PROCESOS OS
COMPONEN
TES DATOS
SOFTWARE
3.Seguridad en la red en su:
IMPLEMENTECIO
DISEÑO OPERACION
N
El diseño de una red informática es El desarrollo de un plan de seguridad
determinar la estructura física la red. de red consiste en hacer las preguntas
Un buen diseño de la seguridad correctas. Las respuestas a cada Operaciones principales de un sistema
informática. La red informática es pregunta impulsarán la de administración de red:
fundamental para evitar problemas de implementación. Al formular un plan
pérdidas de datos, caídas continuas de de seguridad de red razonable, haga ● Administración de fallas
la red, problemas de lentitud en el estas preguntas importantes. ● Control de fallas.
procesamiento de la información. ● Administración de cambios.
● Administración del
comportamiento.
● Servicios de contabilidad.
● Seguridad.
● Llave privada.
4.Seguridad en Internet a nivel de:
REDES
Una vez que la información ha sido capturada en un sistema de cómputo, debe ser almacenada de
manera segura y estar disponible para los usuarios cuando la necesiten. La información también debe
ser mantenida y utilizada de tal forma que su integridad no se vea comprometida.
DISPONIBILIDAD DE SERVICIOS Hay dos componentes principales para asegurar la disponibilidad de la información y, por tanto, de
minimizar el riesgo de confiarle información valiosa a la tecnología. Estos son asegurar que los
sistemas operen para presentar la información cuando se requiera y contar con información de respaldo
para prevenir fallas del sistema o pérdida de información.
5.Seguridad en la infraestructura:
SITIOS ALTERNOS
Se refiere a que debe existir una réplica de
DATACENTER los dispositivos o servidores que CONDICIONES AMBIENTALES
contienen la información tratada en la
organización, esto como un backup frente
Implica proteger la infraestructura crítica Referido al medio ambiente, se debe preveér
a alguna amenaza que pueda presentarse;
de amenazas externas o intrusiones que ante desastres que puedan presentarse y
ayudando a mitigar riesgos.
atenten contra las actividades de una pongan en riesgo nuestros equipos y la
empresa. Elementos de alto valor y información que se maneja; se debe
sumamente importantes, tales como establecer un plan ante desastres y la
servidores, switches y unidades de recuperación frente a ellos.
almacenamiento.
Este tipo de seguridad incluye video
vigilancia a través de cámaras, sistemas de
control de acceso y seguridad perimetral
PROVEEDORES EN
CONSUMIDORES
EL CIBERESPACIO
CIBERSEGURIDAD ACTIVIDADES
REQUERIDAS
INTERNET DISPOSITIVOS
SEGURIDA
D
MODELO GENERAL DE CIBERSEGURIDAD
ISO 27032
Controlando los riesgos a través de:
MEJ
DO IA
RA
VA OG
OR
L
AS P
IN CNO
NO
TE
RAC
TIC
S A
EDUCACIÓN
VISIÓN GENERAL DE LA NORMA ISO
27032
S
RE S
O
ID RE AS
O C
SUM EJ T I
N M AC
CO PR Prevenir, detectar y
reaccionar.
S
RE S N
DO NA IÓ
E
SO AC
VE R IC N
O PE N IÓ
PR M
U Y AC
IN
CO R D
O
NE CO
O
A CI
NIZ
A S
RG
O
EL CIBERESPACIO
ACTIVOS DEL CIBERESPACIO
LA
INFORMACIÓN EL SOFTWARE EL HARDWARE
SEGURIDA
D
ACTIVOS
LOS SERVICIOS LAS PERSONAS
INTANGIBLES
METAS DE LA CIBERSEGURIDAD ISO
27032
PROTEGER EL GESTIÓN DE
CRISIS EDUCACIÓN
CIBERESPACI
O
ALERTAR COORDINACIÓ
SOBRE LAS N ENTRE
AMENAZAS ENTIDADES
CONTROLES DE
CIBERSEGURIDAD
CONTROLES DE:
USUARIO
APLICACIÓN
FINAL
SERVIDORES
INGENIERIA
SOCIAL
CONTROLES DE
APLICACIÓN
4. Revisar código.
1. Presentar políticas
empresariales.
2. Manejo de sesiones de
web.
5. Servicios autentificados y
seguros.
Revisiones periódicas
Análisis de
de malware.
vulnerabilidades.
CONTROLES DE USUARIO FINAL
BLOQUEADORES
INSTALAR
DE SCRIPS
ACTUALIZACIONE
S (OS)
BLOQUEAR
APLICACIONES
VENTANAS
UTILIZADAS
EMERGENTEES
USO DE ANTIVIRUS
FILTROS DE
Y ANTISPYWARE
PISHING
USO DE FIREWALL
PERSONAL
CONTROLES PARA LA INGENIERIA
SOCIAL
POLITICAS DE CLASIFICACIÓN
SEGURIDAD DE LA
INFORMACIÓN
CONTROLES
SENSIBILIZACION TECNICOS
ES APLICABLES
El ciberespacio en un ambiente muy complejo que debe ser asegurado. Existen
diferentes niveles de seguridad en el ciberespacio lo que dificulta la estrategia de
seguridad en él. Existe una proliferación de malware y ataques persistentes avanzados.
Se debe mejorar la gestión de incidentes entre entidades. Optimizar la seguridad en los
proveedores de servicio es parte fundamental de la estrategia. Se debe proteger:
* La información
* Las aplicaciones
* Las redes
* La Internet
* Y la infraestructura crítica de información (CIIP)
GRACIAS