Upload
vfcerezo
View
229
Download
0
Embed Size (px)
Citation preview
8/3/2019 ISO 27001 Presentation Spanish
1/59
Certificacin de Sistemas de
Seguridad de la Informacionatravs de la Norma ISO 27001:2005Una presentacin para el Communication Day en Chihuahua
por Victor Fernandez, Vicepresidente BSI Mxico
8/3/2019 ISO 27001 Presentation Spanish
2/59
2Historia1901 Creacin del Comit de Ingenieros para Normalizacin.
1918 31,000 normas vendidas, 300 comits de normalizacin establecidos,
cambio de nombre para British Engineering Standards Association
(BESA).
1922 Registro de la Marca de Certificacin de Productos
1929 Recibimiento de Royal Charter
1931 Cambio de nombre para British Standards Institution
1946 Apoyo a la creacin de ISO
1953 Establecimiento de Certificacin de Productos
1979 Certificacin de Sistemas de Calidad a
travs de la norma BS 5750.
8/3/2019 ISO 27001 Presentation Spanish
3/59
3Historia
1987 Publicacin de la Norma BS 5750 / ISO serie 9000
1992 Publicacin de la primera Norma para Sistemas de Administracindel Medio Ambiente (BS 7750)
1995 Creacin de la Norma BS 7799
1996 ISO adopta la BS 7750 como ISO 14001
2000 ISO adopta la BS 7799-1 como ISO 27001
2005 Mas de 950 localidades certificadas en Mxico a travs de las normas
ISO 9001, ISO 14001, ISO TS 16949, OHSAS 18001, ISO 27001, AS
9100, ISO 13485, ESD 20.20 y/o TL 9000.
BSI aporta su conocimiento y experiencia de mas de 100 aos en laejecucin de los servicios de certificacin y capacitacin
8/3/2019 ISO 27001 Presentation Spanish
4/59
4
El Grupo es dividido en tres Unidades de Negocios:
BSI British Standards: Organismo de Normalizacin del Reino Unido,
desarrolla normas para atender a las necesidades de negocio y de la sociedad. BSI Management Systems: opera en todo el mundo para proporcionarservicios de certificacin de sistemas y ofrecer una amplia gama de servicios decapacitacin.
BSI Product Services: tambin conocido como Kitemark, existe para ayudar ala industria a desarrollar nuevos y mejores productos, para garantizar elcumplimiento de leyes y reglamentos actuales y futuros.
Unidades de Negocio
8/3/2019 ISO 27001 Presentation Spanish
5/59
5Portafolio de Servicios
Desempeodel Negocio
Sustentabilidaddel Negocio
Continuidaddel Negocio
Creacin de ventajas atravs de la mejora del
desempeo
+ Benchmark y otrosesquemas de sector.
Demostracin deResponsabilidad
Minimizacin de laInterrupcin del Negocio
a travs de la efectivaAdministracin del Riesgo
+ GHG, SA 8000 y CSR +HACCP, ISO 22001 y BRC
8/3/2019 ISO 27001 Presentation Spanish
6/59
6
ISO serie 9000:
La serie ISO 9000 establece
requerimientos, guas, principios yterminologa de gestin de la calidad.
La certificacin ISO 9001 se convirti en la referencia de sistemas de calidad enlas relaciones de negocio B2B.
Los requerimientos de la Norma son genricos y pueden ser aplicados paracualquier organizacin.
Su primera versin publicada en 1987 fue basada en la norma BSI BS 5750.
Ms de 670,000 Organizaciones en 154 pases mantienen sistemas de calidadcertificados a travs de la norma ISO 9001:2000, evidenciando que estas buscanla satisfaccin de sus clientes y la mejora continua, cumpliendo conrequerimientos reglamentarios aplicables a sus productos.
Portafolio de Servicios
8/3/2019 ISO 27001 Presentation Spanish
7/59
7Portafolio de ServiciosISO serie 9000 en Amrica del Norte yMxico:
Ms de 49,500 Organizaciones mantienenla certificacin ISO 9001:2000 en Amricadel Norte, 3,391 en Mxico.
Posicionamiento BSI:
BSI mantiene el liderazgo en las certificaciones ISO 9001:2000 con cerca de40,000 clientes en todo el mundo, 8,000 en Norte Amrica y ms de 500 enMxico.
Con 15 auditores exclusivos en Mxico para el programa ISO 9001, BSI es elOrganismo de Certificacin con la mayor capacidad de realizacin de serviciosen diversas regiones
Auditores locales disponibles en: Distrito Federal, Chihuahua, Baja California, Nuevo Laredo, Tamaulipas,Aguascalientes y Puebla.
8/3/2019 ISO 27001 Presentation Spanish
8/59
8Portafolio de ServiciosISO/TS 16949:2002:
Reconociendo la necesidad de uniformizar los mltiples
sistemas de evaluacin aplicados a la cadena deproveedores del sector automotriz, sus particularidadesy requerimientos adicionales de los clientes, fueestablecido por ISO el suplemento tcnico TS 16949.
Ms de 10,000 Organizaciones en 62 pases mantienensistemas de calidad certificados a travs de la normaISO TS 16949:2002.
8/3/2019 ISO 27001 Presentation Spanish
9/59
9Portafolio de ServiciosISO TS 16949 en Amrica del Norte yMxico:
Ms de 4,500 Organizaciones mantienen lacertificacin ISO TS 16949:2002 en Amricadel Norte, 566 en Mxico.
Posicionamiento BSI:
BSI mantiene el liderazgo en las certificaciones ISO TS 16949:2002 con ms de200 clientes en Mxico (36% de participacin de mercado) .
Con 7 auditores exclusivos calificados en Mxico para el programa ISO TS16949, BSI es el Organismo de Certificacin con la mayor capacidad derealizacin de servicios en diversas regiones.
Auditores locales disponibles en: Distrito Federal, Nuevo Laredo, Chihuahua, Tamaulipas y Puebla.
8/3/2019 ISO 27001 Presentation Spanish
10/59
10Portafolio de ServiciosISO serie 14000:
La serie ISO 14000 establece
requerimientos, guas, principiosy terminologa de gestinambiental.
La primera versin de la certificacin ISO 14001 fue aprobada en 1996 basado en
la Norma BSI BS 7750.La ISO 14001 versin 2004 es la referencia internacional para la sustentabilidaddel negocio, cumpliendo con la legislacin, objetivando la reduccin de los efectosambientales causados por sus actividades generando el compromiso con lamejora continua.
Ms de 90,000 Organizaciones en 127 pases mantienen sistemas de gestinambiental certificados a travs de la norma ISO 14001: 2004
8/3/2019 ISO 27001 Presentation Spanish
11/59
11Portafolio de ServiciosISO 14001 en Amrica del Norte yMxico:
Ms de 6,700 Organizacionesmantienen la certificacin ISO 14001en Amrica del Norte, 492 en Mxico.
Posicionamiento BSI:
BSI mantiene el liderazgo en las certificaciones ISO 14001 con cerca de 7,000clientes en todo el mundo, 1,000 en Norte Amrica y ms de 160 en Mxico (33%de participacin de mercado) .
Con 9 auditores exclusivos calificados en Mxico para el programa ISO 14001, BSIes el Organismo de Certificacin con la mayor capacidad de realizacin deservicios en diversas regiones.
Auditores locales disponibles en: Distrito Federal, Nuevo Laredo, Chihuahua y
Baja California.
8/3/2019 ISO 27001 Presentation Spanish
12/59
12Portafolio de ServiciosOHSAS 18001:
La norma OHSAS 18001 establece criterios para sistemas de gestin de la salud
ocupacional y seguridad.Esta norma fue creada en 1999 con el objetivo de establecer un sistemainternacionalmente reconocido hasta la creacin de normas internaciones (ISO)sobre seguridad.
Su desarrollo fue a travs de un trabajo conjunto de Organismos deNormalizacin, Institutos de Seguridad, Grupos Industriales y Organismos deCertificacin.
BSI particip activamente con su experiencia y conocimiento basado en la NormaBSI BS 8800.
El sistema OHSAS 18001 permite integracin con otras normas de sistemas degestin, tales como: ISO 14001 e ISO 9001.
Ms de 12,000 Organizaciones en diversos pases mantienen sistemas degestin de salud ocupacional y seguridad certificados a travs de la normaOHSAS 18001:1999.
8/3/2019 ISO 27001 Presentation Spanish
13/59
13Portafolio de ServiciosOHSAS 18001 en Amrica del Norte y Mxico:
Cerca de 300 Organizaciones mantienen la certificacin OHSAS en Amrica del
Norte, 18 en Mxico.
Posicionamiento BSI:
BSI mantiene una posicin destacada en las certificaciones OHSAS 18001 conms de 500 clientes en todo el mundo, 4 en Mxico.
En Mxico BSI mantiene 2 auditores exclusivos calificados en Mxico para elprograma.
8/3/2019 ISO 27001 Presentation Spanish
14/59
14Portafolio de Servicios
ISO 13485:2002:
La industria de dispositivos mdicos est inmersa en un ambiente complejo,
afectada por mltiples sistemas reglamentarios, normas y requerimientosnacionales e internacionales. Este ambiente complejo es dinmico y estinfluenciado por muchas iniciativas.
Ms de 3,000 Organizaciones en 56pases mantienen sistemas certificados atravs de la norma ISO 13485:2003.
8/3/2019 ISO 27001 Presentation Spanish
15/59
15Portafolio de ServiciosISO 13485:2002 en Amrica delNorte y Mxico:
850 Organizaciones mantienen lacertificacin ISO 13485 en Amrica delNorte, 23 en Mxico.
Posicionamiento BSI:
BSI mantiene el liderazgo en las certificaciones ISO 13485 con un equipoexclusivo dedicado a la certificacin de dispositivos mdicos estando en lavanguardia para interpretar la situacin global y guiar en los requerimientos yreglamentos emergentes. El servicio ayuda a los fabricantes a entender susnecesidades en los mercados claves mundiales.
En Mxico, 90% de las certificaciones ISO 13485 fueron hechas a travs de BSI.
8/3/2019 ISO 27001 Presentation Spanish
16/59
16
Ventajas de BSIReferencias en Mxico
Automotriz Electro-Electrnico Qumico Alcoa Electrolux 3MHealth Care
Delphi Corporation HP Carbono Lorena
Robert Bosch Hitachi Dow Corning
Takata IBM Dupont
TI Group ITT Industries GE Plastics
TRW JVC Inoplastic
Valeo Kyocera Poliestireno y Derivados
Lexmark Vitro
Panasonic
Philips
Samsung
Sanyo
Sony
Servicios Dispositivos Medicos
Autotransportes de Carga Avent
Caja PopularHidalgo Coast Line
Centro Comercial Plaza Mayor EthiconColegio Mario Moreno GE Medical Systems
Inst. de Educacin Nutica Nypro
Interproteccion Agentes de Seguros Starkey
Viajes Tijuana Celestica
Flexfab
Suntron
Aeronutico
8/3/2019 ISO 27001 Presentation Spanish
17/59
17
Ventajas de BSI
Referencias en Mxico
Alimentos Metal-Mecnico Telecomunicaciones
British American Tobacco Aluminio de Baja California Conley Telecom
Cadbury Adams ASK Net & Services Tranton
Nutricin y Alimentos de Sonora Cintacero Radiomovil
Tequila Herradura Nacional de Cobre Strattec
Sandvik
Siderurgica del Bajo
Siderurgica Lazaro CardenasTubera Nacional
Tubos IUSA
Zincacero
Textiles y Derivados
Leather Components
C & A
Milyon
Internacional de Calzados
AFX industries
Construccin
GEO Queretaro
Edificasa
Construcciones
Arqui-Mexicanas
Gobierno
Ayuntamiento de Tijuana
Desarrollo Integral de la Familia Gobierno del D.F.
Municipio de Aguascalientes
Municipio de LenSecretaria de Turismo
Subprocuradoria Derechos Humanos
8/3/2019 ISO 27001 Presentation Spanish
18/59
18
Contenido
Introduccin a ISMS
Porque Implementar un Sistema de Seguridad deinformacin?
Porque ISO 27001? Evolucin de la ISO 27001
Normas de la Serie 27000
Aplicabilidad y Sectores Claves Estadsticas de Certificacin
Proceso de Certificacin
8/3/2019 ISO 27001 Presentation Spanish
19/59
19
Contenido
La Norma ISO 27001
Lo que es?
Definiciones Claves
Enfoque de Procesos y Modelo PDCA
Estructura
Evaluacin de Riesgos
Controles
Porque Certificarse?
8/3/2019 ISO 27001 Presentation Spanish
20/59
20
Introduccin a ISMSPorque Implementar un Sistema de Seguridad de
informacin? Si tu informacion
no esta segura, sufuturo no estaseguro, BSI
Slogan paraCertificacin enSeguridad deInformacion;
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
21/59
21
Introduccin a ISMSPorque Implementar un Sistema de Seguridad de
informacin? Gobiernos estn
presionando losnegocios aimplementar controles
para proteger laspartes interesadas yinfraestructuras.
Algunos de estosreglamentos imponenmedidas severas depenalizacin en elcaso deincumplimiento.
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
22/59
22
Introduccin a ISMSPorque Implementar un Sistema de Seguridad de
informacin? El nico camino para
administrar la implementacinde un control de lainfraestructura es a travs de un
proceso formal. Existen muchos requerimientosque un negocio necesitaconsiderar, pero solo hay unaNORMA que puede ser aplicadacomo una lnea base para elcontrol de todos losrequerimientos reglamentarios ydel negocio
ISO 27001: 2005
Contents slide
Espionaje econmico y
robo de secretos
industrialesDave Drab, Director de XeroxGlobal Services, Inc., elabora
sobre cmo algunos factores,tales como la globalizacin, elrpido avance de la tecnologa ylas telecomunicaciones y lasmovilidad de los empleados en ellugar de trabajo, se combinan
para crear una oportunidad sinprecedentes para la penetracionde espionaje econmico y robode secretos industriales.
8/3/2019 ISO 27001 Presentation Spanish
23/59
23
Importancia de la Informacion
Todas las organizaciones dependen de la informacionpara sobrevivir
Es el activo mas importante
8/3/2019 ISO 27001 Presentation Spanish
24/59
24
Creada
Procesada Transmitida
Almacenada
Destruida
Usada - (para buenos o malos propositos)
CorrumpidaPerdida
Ciclo de vida de la Informacion
La informacion puede ser:
8/3/2019 ISO 27001 Presentation Spanish
25/59
25
Introduccin a ISMSPorque Implementar un Sistema de Seguridad de
informacin?Un efectivo sistema de gestin puede ayudar a lasOrganizaciones a:
Identificar, reducir y administrar riesgos
Mejorar la eficiencia operacional
Reducir costos, direccionar inversiones
Mejorar la satisfaccin de los clientes y accionistas
Proteger su marca y reputacin
Alcanzar mejora continua
Promover innovacin
Remover barreras al comercio
Promover claridad al mercado
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
26/59
26
Introduccin a ISMSPorque ISO 27001?
nica norma efectivamente reconocida comointernacional (respaldo de la ISO = InternationalOrganization for Standardization)
nica norma para Sistemas Gestin de Seguridad deInformacion con estructura de certificacin independientee internacionalmente reconocida;
Mecanismo de certificacin reglamentado;
Aplicado por miles de Organizaciones.
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
27/59
27
Introduccin a ISMSEvolucin de la ISO 27001
Contents slide
BS 7799-1
BS 7799-2
1995 2005
BS 7799:1995
BS 7799-1:1999
BS ISO/IEC17799:2000
ISO/IEC17799:2005
2007
BS 7799-2:1999
developed to supportcertification
ISO/IEC
27001:2005
1999: UKcommitteedecision tosubmit toISO Fast-
track
Normal revision cyclein ISO
2004: UK decisionmade to submit toISO Fast-track
Internationalcommitteedecision tochange number
ISO/IEC27002:2007
2000
Revised in UK
Internationalcommittee decisionto change number
8/3/2019 ISO 27001 Presentation Spanish
28/59
28
Introduccin a ISMSNormas de la Serie ISO 27000
Contents slide
BS ISO/IEC 27000 Definiciones yVocabulario
2008/2009
BS ISO/IEC 27001 Sistema deGestin de Seguridad de Informacion Requerimientos
Publicada en Octubre del 2005,basada en la norma BS 7799-2
BS ISO/IEC 27002 Cdigo dePractica para Gestin de la Seguridadde Informacion
Actualmente ISO/IEC 17799:2005
Cambio para 27002 en 2007/2008BS ISO/IEC 27003 Gua deImplementacin
2008/2009
BS ISO/IEC 27004 Mtricas yMediciones
2006/2007
BS ISO/IEC 27005 Gestin deRiesgos de Seguridad de Informacion
2008/2009. Actualmente BS 7799-3,publicada en Marzo 2006.
BS ISO/IEC 27006 VersinInternacional del EA7/03
En proceso de decisin del numero
27007...27011 Reservado para futuros desarrollos
8/3/2019 ISO 27001 Presentation Spanish
29/59
29
8/3/2019 ISO 27001 Presentation Spanish
30/59
30
8/3/2019 ISO 27001 Presentation Spanish
31/59
31
Introduccin a ISMSAplicabilidad y Sectores Claves
Los requerimientos de la norma ISO 27001 fueronestablecidos para ser aplicados en todas lasOrganizaciones, independiente del tipo, tamao onaturaleza, sean empresas comerciales, agencias degobierno u organizaciones sin fines de lucro.
Exclusiones en las clusulas 4, 5, 6, 7 y 8 no sonaceptables.
Cualquier exclusin en controles identificados comonecesarios para satisfaccin de criterios de aceptacinde riesgos necesitan ser justificados.
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
32/59
32
Introduccin a ISMSAplicabilidad y Sectores Claves
Mas de 3,000 Organizaciones lograron obtener lacertificacin ISO 27001. Es posible identificar lossectores con mayor grado de atraccin actualmente:
Contents slide
Bajo
Agricultura y Pesca
Qumicos y Fibras
Construccin
Servicios de Ingeniera
Equipamientos y maquinas
Empresas de Impresin
Reciclaje
Construccin Naval
Mdium
Educacin
Provisin de Energa
Alimentos, bebidas y fumo
Provisin de Gas
Hoteles y Restaurantes
Empresas de Publicacin
Transporte, Almacenamiento
y comunicacin Transporte,
Provisin de Agua
Comercio mayoreo y
menudeo
Alto
Aerospacial
Finanzas
Trabajos de Salud y Sociales
Tecnologa de Informacion
Man. y Transferencia de datos
Combustible Nuclear
Farmacuticos
Gobierno
Administracin Publica
Defensa
8/3/2019 ISO 27001 Presentation Spanish
33/59
33
Introduccin a ISMSEstadsticas de Certificacin
Contents slide
September, 2006
Japan 1730* Austria 10 South Africa 2UK 314 Sweden 9 Sri Lanka 2
India 237 Philippines 8 Armenia 1Taiwan 109 Spain 8 Chile 1Germany 64 Iceland 6 Egypt 1
Hungary 51 Greece 5 Indonesia 1Italy 42 Saudi Arabia 5 Lebanon 1USA 42 UAE 5 Lithuania 1Korea 40 Kuwait 4 Luxemburg 1
China 29 Mexico 4 Macedonia 1Netherlands 28 Russian
Federation
4 Moldova 1
Singapore 27 Argentina 3 Morocco 1Hong Kong 26 Canada 3 New Zealand 1
Australia 20 Croatia 3 Oman 1Switzerland 19 France 3 Pakistan 1
Ireland 17 Isle of Man 3 Peru 1
Poland 17 Macau 3 Qatar 1
CzechRepublic 16 Slovenia 3 Romania 1Finland 15 Bahrain 2 SerbiaandMontenegro 1Norway 14 Belgium 2 Thailand 1Malaysia 13 Colombia 2 Vietnam 1Brazil 11 Denmark 2 Relative Total 3019Turkey 11 Slovak
Republic
2 Absolute
Total
3006*
3,006 certificaciones;
Top 5: Japon, UK,India, Taiwan y
Alemania;
USA y Brasil lideranAmricas, seguidospor Mxico, Canad y
Argentina;
BSI tiene 45% delmercado mundial.70% del mercado deNorte Amrica
8/3/2019 ISO 27001 Presentation Spanish
34/59
34
Introduccin a ISMSProceso de Certificacin
Contents slide
CuestionarioPerfil
Oferta ContratoPre
Auditoria
Auditorias deSeguimiento *
Auditoria deRecertificacin *
Certificado
Certificado
Cada3 aos
Cada6 12 meses
Opcional
* Procesos de accin correctiva son requeridos para no conformidades identificadas
Determ.Client
Manager
AuditoriaFase 2 *
AuditoriaFase 1 *
8/3/2019 ISO 27001 Presentation Spanish
35/59
35
La Norma ISO 27001Lo que es?
La norma ISO 27001 fue preparada para proveer unmodelo para:
Establecer,
Implementar,
Operar,
Monitorear,
Analizar,
Mantener y Mejorar un
Sistema de Gestin de Seguridad de Informacion.
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
36/59
36Estructura de la Norma
2005 Edicion
Categorias deSeguridad
Controles
5 Politica de Seguridad 1 2
6 Seguridad de la Informacion organizada 2 11
7 Activos gerenciales 2 5
8 Seguridad de los recursos humanos 3 9
9 Seguridad fisica y ambiental 2 13
10 Gerencia de comunicaciones y operaciones 10 32
11 Contrles de acceso 7 25
12 Adquisicion de sistemas de informacion desarrollo y
mantenimiento
6 16
13 Gerencia de incidentes de seguridad 2 5
14 Gerenciacion del plande continuidad 1 5
15 Compliance 3 10
Totales 39 133
8/3/2019 ISO 27001 Presentation Spanish
37/59
37
Procedimientos
Instrucciones de
trabajo,
procedimientos
Records
Manual de
SeguridadPolitica, alcance
Analisis de riesgo,
aplicabilidad
Describe los procesosQuien, como, cuando,
donde
Describe las tareas y
actividades especificas ha
realizar
Provee evidencia objetiva del cumplimientode los requerimientos del ISMS
Nivel 1Cuadro referencial para la Gerencia
Politicas relacionadas BS 7799
Clause 4
Nivel 2
Nivel 3
Nivel 4
ISMS Documentacion
8/3/2019 ISO 27001 Presentation Spanish
38/59
38
La Norma ISO 27001Definiciones Claves
Seguridad de Informacin:Preservacin de la confidencialidad, integridad y disponibilidad dela informacin.
Confidencialidad:
La propiedad de la informacion no est disponible para personas, oentidades no autorizadas.
Integridad:
La salvaguarda adecuada de la exactitud y totalidad de los activos.
Disponibilidad:
La propiedad de estar accesible y usable de acuerdo con lademanda por una persona autorizada.
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
39/59
39
La Norma ISO 27001Definiciones Claves
Contents slide
Confidencialidad
Integridad
Disponibilidad
8/3/2019 ISO 27001 Presentation Spanish
40/59
40
La Norma ISO 27001Enfoque de Procesos y Modelo PDCA
ISO 27001 adopta el enfoque de procesos y utiliza elmodelo PDCA de acuerdo con la ilustracin siguiente:
Contents slide
Implementacin y
Operacin del ISMS
Establecimiento
del ISMS
Mantener y
Mejorar el ISMS
Monitoreo y
Anlisis del ISMS
Partes
Interesadas
Requisitos y
Expectativa de
Seguridad de
Informacin
Partes
Interesadas
Gestin de
Seguridad de
Informacin
Plan
Act
Check
Do
8/3/2019 ISO 27001 Presentation Spanish
41/59
41
La Norma ISO 27001Enfoque de Procesos y Modelo PDCA
Contents slide
Plan(establecimiento delSistema)
Establecimiento de polticas, objetivos, procesos yprocedimientos relevantes para la gestin del riesgo y mejorade la seguridad de informacin para la entrega de resultadosde acuerdo con las polticas y objetivos de la organizacin.
Do
(implementacin yoperacin delSistema)
Implementar y operar el sistema (polticas, controles,procesos y procedimientos).
Check(monitoreo yanlisis delSistema)
Acceder y, donde sea aplicable, medir el desempeo de losprocesos en relacin a la poltica, objetivos y experienciaprctica del sistema y reportar los resultados para la revisinpor la direccin.
Act(mantener ymejorar el Sistema)
Tomar acciones correctivas y preventivas, basado enresultados de auditorias internas y revisiones por la direccino otra informacin relevante, para obtener la mejora continuadel sistema.
8/3/2019 ISO 27001 Presentation Spanish
42/59
42
La Norma ISO 27001Estructura Detalle del Plan
Contents slide
Definicin del Alcance y Limites del Sistema deGestin de Seguridad de la Informacion
Declaracin
deAplicabilidad
Definicin de laPoltica de ISMS
Definicin del Modelode Evaluacin de
Riesgo
Identificacin deRiesgos
Anlisis y Evaluacin de Riesgos
Identificacin yevaluacin de las
opciones de tratamientode riesgos
Seleccin deControles yObjetivos
Gestin de laaprobacin de losriesgos residuales
propuestos
Autorizacin de la Administracin para laimplementacin y operacin del ISMS
Alcance y Limites
8/3/2019 ISO 27001 Presentation Spanish
43/59
43
La Norma ISO 27001Estructura Clusulas
Contents slide
Seccin 4: Sistema de Gestin de Seguridad de Informacin
4.3 Requerimientos de Documentacin
4.2 Establecimiento y Gestin del Sistema
4.1 Requerimientos Generales
Seccin 5: Responsabilidad de la Administracin
5.2 Gestin de Recursos
5.1 Compromiso de la Administracin
Seccin 6: Auditoria Interna
8/3/2019 ISO 27001 Presentation Spanish
44/59
44
La Norma ISO 27001Estructura Clusulas
Contents slide
Seccin 8: Mejora del Sistema
8.2Accin Correctiva
8.1 Mejora Continua
Seccin 7: Revisin Gerencial
7.2 Datos de Entrada
7.1 General
8.3 Accin Preventiva
7.3 Datos de Salida
8/3/2019 ISO 27001 Presentation Spanish
45/59
45
La Norma ISO 27001Evaluacin de Riesgos
Contents slide
Identificacindel Riesgo
Identificacin de
Activos
Basado en el
Alcance del Sistema
Identificacin de
AmenazasA los activos
Identificacin de
VulnerabilidadesA los activos
A la seguridadde los activos
Identificacin delImpacto
Estimacin del
Grado de Riesgo
Evaluacin del
Impacto
Evaluacin de Frecuencia
y Controles Actuales
Determinacin de
Criterio de Aceptacin
Consecuencia
Ocurrencia y
Deteccin
Evaluacin
Anlisis y
Evaluacindel Riesgo
Gestin del Riesgo: Actividades
coordinadas para direccionar y
controlar una Organizacin con
relacin al riesgo.
8/3/2019 ISO 27001 Presentation Spanish
46/59
46
La Norma ISO 27001Contents slide
Tratamientodel Riesgo
Aplicacin de
ControlesReduccin del Riesgo
Aceptar el Riesgo
objetivamenteConocimiento y
Criterio de Aceptacin
Evitar los
Riesgos
Aseguradoras,
Proveedores,
Transferir el
Riesgo
Anlisis yEvaluacindel Riesgo
Anexo A (16 paginas): Lista objetivos y controles aplicables a:
Poltica de
Seguridad
Seguridad de
Informacion de la
Organizacin
Gestin de
Activos
Seguridad de
Recursos
HumanosSeguridad Fsica
y MedioambientalGestin deComunicacin y
Operacin
Control de
Acceso
Gestin de
Incidentes de
Seguridad de
Informacion
Adquisicin,Desarrollo y
Mantenimiento de
Sistemas de
Informacin
Gestin de la
Continuidad del
NegocioConformidad
Ejemplo
8/3/2019 ISO 27001 Presentation Spanish
47/59
47
La Norma ISO 27001Controles
Contents slide
Antes de la
Contratacin
Seguridad de Recursos Humanos
Objetivo:
Garantizar que las personasconozcan susresponsabilidades y seanadecuadas para el puesto, ypara reducir el riesgo de robo,fraude y uso inadecuado delas instalaciones.
Durante el Empleo Termino del
Empleo
Controles:
Relativos a documentacinde responsabilidades Relativos a verificacin delcandidato Relativo a trminos ycondiciones de empleo
Objetivo:
Garantizar que las personastengan conciencia de las
amenazas e preocupacionesrelativas a seguridad deinformacin, susresponsabilidades,,reduciendo el riesgo de erroreshumanos
Controles:
Relativos aresponsabilidades de laadministracin Relativos a capacitacin Relativo a procesosdisciplinarios
Objetivo:
Garantizar que las personasterminen su relacin laboralde manera ordenada.
Controles:
Relativos aresponsabilidades por laterminacin de empleo Relativos a retorno de activos Relativo a la remocin deacceso
8/3/2019 ISO 27001 Presentation Spanish
48/59
48
La Norma ISO 27001Controles
Cuales son los mas importantes?Depende de cada Organizacin. Entretanto, ISO 17799provee alguna gua en la forma de esencilmentelegislativos y mejores practicas usuales dentro de la
seccin de puntos iniciales, los cuales son: Derecho de propiedad industrial (12.1.2);
Salvaguarda de registros de la Organizacin (12.1.3);
Proteccin de datos y privacidad de informacion personal
(12.1.4); Poltica de Seguridad de la Informacion (3.1.1.);
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
49/59
49
La Norma ISO 27001Controles
Identificacin de responsabilidades de Seguridad de laInformacion (4.1.3.);
Educacin y capacitacion en Seguridad de la Informacion(6.2.1);
Reporte de incidentes de seguridad (6.3.1); Gestin de la continuidad del negocio (11.1).
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
50/59
50
La Norma ISO 27001Porque certificarse?
Porque es una inversin segura y de retornogarantizado.
Los beneficios de la implementacin de un sistema degestin de seguridad de la informacion son amplios yfueron presentados anteriormente.
En adicin a estos beneficios, la obtencin de lacertificacin provee:
Credibilidad
Seguridad al mercado Transparencia
Maximiza competitividad
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
51/59
51
La Norma ISO 27001Porque certificarse?
Porque es una inversin segura y de retornogarantizado.
Evita el riesgo de implementacin inadecuada, falta de actualizaciny mantenimiento dbil, consecuentemente:
Promover aplicacin de tecnologa
Direccin a inversiones efectivasMaximiza recursos
Promover mejora continua
Promover innovacin
Promueve el compromiso y el cambio cultural
Maximiza el potencial de crecimiento y de acceso a mercados
Contents slide
8/3/2019 ISO 27001 Presentation Spanish
52/59
52
La Norma ISO 27001Porque certificarse?
Porque es una inversin segura y de retornogarantizado.
Cumplimiento con los requisitos contractuales yreglamentarios
Un mecanismo reglamentado de evaluacin continua,identifica vulnerabilidades, no conformidades, debilidades,fragilidades, oportunidades de mejora y fortalezas antesque la empresa sufra con las consecuencias en la practica
Evidencia objetiva de la gestin adecuada de los riesgosrelacionados a la seguridad de informacion, tanto para losejecutivos, como inversionistas, clientes, etc
Contents slide
BSI M t S t
8/3/2019 ISO 27001 Presentation Spanish
53/59
53BSI Management Systems
Servimos en - 115 Paises
Estamos soportados por - 500 CMs
BSI Americas - HQ in Washington,DCBSI EMEA - HQ in London, EnglandBSI Pacific - HQ in Hong KongBSI Mxico - HQ in Mxico CityBSI Canada HQ in TorontoBSI Brazil HQ in S Paulo
8/3/2019 ISO 27001 Presentation Spanish
54/59
54
Americas
RAB (U.S.A.)
SCC (Canada)
EMA (Mexico)
INMETRO (Brazil)
Acreditaciones BSI
Otros
RvA (Holanda)
UKAS(Inglaterra)
KBA (Alemania)
KAB (Korea)
HKAS (Hong Kong)
JAB (Japon)
ENAC (Espana)
SAC (Singapure)
CNACR (Taiwan)
8/3/2019 ISO 27001 Presentation Spanish
55/59
55
Entrenamiento
8/3/2019 ISO 27001 Presentation Spanish
56/59
Ejemplos de Clientes
Contents slide
Questions?
8/3/2019 ISO 27001 Presentation Spanish
57/59
57
Sitios para consulta en web
www.bsiamericas.com
www.bsi-global.com
8/3/2019 ISO 27001 Presentation Spanish
58/59
58
Preguntas?
8/3/2019 ISO 27001 Presentation Spanish
59/59
59
Contctenos
Contents slide
Nombre: Victor Fernandez
Posicin: Vicepresidente de Ventas, BSI Mxico
Direccin: British Standards Institution Mxico
Paseo de la Reforma, 505Piso 41, Distrito federal,
Mexico
Telefone: (5255) 5241 1370
Fax: (5255) 5241 1374Email: [email protected]
Web: http://www.bsiamericas.com