Embed Size (px)
Citation preview
En cumplimiento con ISO 27001¿Requisito ó Recomendación?
ISEC InfoSecurity Tour 2019 - San Juan, PR
Presentador: José F. Amorós RiveraCompañía: Informasi
Presentador: José F. Amorós RiveraCompañía: Informasi
ISO 27001ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la informaciónen una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
ISO 22301El nombre completo de esta norma es ISO 22301:2012 – Sistemas de gestión de la continuidad del negocio – Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejormarco de referencia para gestionar la continuidad del negocio en una organización. Se adapta muy bien con ISO 27001 porque el punto A.17 de esta última requiere la implementación de la continuidad del negocio.
Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.
Cualquier organización, grande o pequeña puede implemetar esta norma, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.
La encuesta de INFORMASI
Airbus A320 Boeing 737 Max 8
¿En cual de estos dos aviones HOY te montarías con toda confianza?
VOTA AHORAhttp://informasipr.com/encuesta
Esta presentación NO tiene que ver con aviones....
Pero si con CONFIANZA.
¿A qué compañía confiarías túdata personal o la de túempresa?
A. Una que mediante controles y normas te garantize la confidencialidad, integridad y disponibilidad de la información. Y que te además te garantize la continuidaddel negocio en caso de desastre.
B. Una que no pueda ofrecerte garantías sobre la información y la continuidad del negocio.
ISO 27001 & 22301¿Requisito ó Recomendación?
Volvemos a la pregunta inicial
Al igual que otras normas de ISO, la certificación de ISO/IEC 27001 es posible, pero no obligatoria.
Algunas organizaciones eligen a aplicar la norma a fin de beneficiarse de las mejores prácticas que contiene,
mientras otros deciden que quieren obtener la certificaciónpara brindar confianza a los clientes y asegurar que sus
recomendaciones han sido seguidas.
Beneficios• Cumplir con los requerimientos legales
• Obtener una ventaja comercial
• Menores costos
• Una mejor organización
Sistema de Gestión de Seguridad de la Información(Information Security Management System)
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesospara gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
El SGSI es quien se encarga de la implementación y seguimiento de la norma ISO 27001.
Según los cambios en la organización, tanto internos como externos, el SGSI debe adaptarse y ser eficiente durante un largo tiempo.
La ISO/IEC 27001 por lo tanto incorpora el típico Plan-Do-Check-Act (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
• Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
• Do (hacer): es una fase que envuelve la implantación y operación de los controles.
• Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
• Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI al máximorendimiento.
Sistema de Gestión de Seguridad de la Información(Information Security Management System)
¿Dónde interviene la gestión de seguridad de la información en una empresa?
Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa. Hay aspectosque se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información:
• La ciberdelincuencia resulta cada vez más común, en ocasiones con resultados devastadores para las empresas y la sociedad.
• La Transformación Digital ha llevado a las empresas a utilizar grandes volúmenes de datos procedentes de diferentes fuentes.
• Esto ha garantizado que la gestión de seguridad ya no sea una ventaja adicional, sino un elemento esencialpara lograr la confianza de los clientes.
• Resulta imprescindible adherirse a las leyes y reglamentos de privacidad para evitar los obstáculos y multasque conllevan el incumplimiento.
• Muy pocas empresas tienen un plan de continuidad de negocios implemetado y probado.
Algunos hechos reales
Evaluación de Riesgos y Controles por parte del SGSI
Algunos controles de riesgo al alcance de nuestra mano a nivel de IT que podemosevaluar e implementar alineados con ISO 27001
1. Detectar ataques internos2. Supervisar usuarios privilegiados3. Auditar sesiones de usuarios4. Medidas de seguridad para minimizar riesgos relacionados a dispositivos moviles en la organización5. Manejo adecuado de activos6. Controles para la instalación de programas autorizados7. Manejo de parchos de forma automatizada8. Protección contra Ransomware9. Politicas de resguardo adecuadas y probadas10. Implantación de pruebas de penetración11. Implatación y uso de herramientas de SIEM12. Establecer un programa de manejo de incidentes de seguridad13. Establecer y probar un plan de continuidad de negocio14. Cumplimiento con los estandares, leyes y regulaciones de la industría
ISO 27001 Dominios
¿Cómo Informasi puede ayudarle en la Gestion de Sistema de Seguridad de Información en su empresa?
!A traves de nuestro personal y socios de negociosestamos en la mayor disposición de poder servirles!
Referencías
• Http://info.advisera.com• Https://advisera.com/27001academy/es/que-es-iso-27001/• Https://isotc.iso.org• https://www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-norma-iso-27001/• Https://en.wikipedia.org/wiki/ISO/IEC_27001#ISO/IEC_27001:2005_Domains• Https://www.iso.org/isoiec-27001-information-security.html• https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-de-la-norma-iso-270012013/
!GRACIAS POR SU ATENCION A ESTA CONFERENCIA!
ISEC INFOSECURITY TOUR 2019 | SAN JUAN PUERTO RICO
PARA MAS INFORMACION VISITE NUESTRA MESA EN EL AREA DE EXHIBIDORES
José F. Amorós RiveraInformasi
(787) [email protected]
