Irma iso
Descargar como PPTX, PDF0 recomendaciones615 vistas
El documento establece lineamientos generales sobre gestión de información y seguridad de la información. Define términos clave como activo, control, riesgo y políticas. Explica la importancia de evaluar riesgos, seleccionar controles, establecer una política de seguridad de información y asignar responsabilidades. También cubre temas como grupos externos, confidencialidad, contacto con autoridades y revisión gerencial.
Irma iso
- 2. ALCANCE Establece los lineamientos y principios generales Iniciar Implementar Mantener Mejorar Gestión de Información
- 3. ISO/IEC Participan en el desarrollo de Estándares Internacionales a través de los comités Preparar Estándares Internacionales. La publicación de un Estándar Internacional requiere de la aprobación de por lo menos 75% de los organismos nacionales que emiten un voto.
- 4. ¿Qué es seguridad de la información? Puede estar:
- 5. La seguridad de la información la continuidad el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.
- 6. La seguridad de la información se logra: Implementando un adecuado conjunto de controles para asegurar que se cumplan los objetivos de seguridad y comerciales Políticas Procesos Procedimientos Estructuras organizacionales y funciones de software y hardware. Se necesitan… Establecer Implementar Monitorear
- 7. ¿Por qué se necesita seguridad de la información?
- 8. SE ESTABLECEN LOS SIGUIENTES TERMINOS Activo Cualquier cosa que tenga valor para la organización Control Medios para manejar el riesgo Lineamiento Una descripción * para lograr los objetivos establecidos en las políticas
- 9. Medios de procesamiento de la información Cualquier SISTEMA SERVICIO Seguridad de la información
- 10. Evento de seguridad de la información Es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita. Ejemplos de Incidentes de Seguridad Un acceso no autorizado. El robo de contraseñas. El robo de información. El borrado de información de terceros. La alteración de la información de terceros. El abuso y/o mal uso de los servicios informáticos internos o externos
- 11. Incidente de seguridad de la información • DETECTAS • INCIDENTE SEGURIDAD • REGISTRAS • ANALIZAS • ESTALECE INCIDENTE • REACCIONAS
- 12. POLITICA NORMA expresada formalmente por la gerencia RIESGO De todo inversionista
- 13. Análisis del riesgo Evaluación del riesgo Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo identificar las fuentes y calcular el riesgo
- 14. Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.
- 15. ¿Cómo establecer los requerimientos de seguridad? Evaluando los riesgos de la seguridad ayudarán e implementar
- 16. Selección de controles identificado los requerimientos los riesgos de seguridad Tomadas las decisiones para el tratamiento de los riesgos DEBEN SELECCIONAR LOS CONTROLES E IMPLEMENTARLOS PARA REDUCIR LOS RIESGOS A UN NIVLE ACEPTABLE!!!
- 17. PARA IMPLEMENTARLOS SE NECESITA: Proporciona información más detallada para apoyar la implementación del control y cumplir con el objetivo de control. Evaluación de los riesgos de seguridad*** debieran identificar, cuantificar y priorizar los riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo). Las evaluaciones del riesgo también se debieran realizar periódicamente
- 18. Tratamiento de los riesgos de seguridad Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en costo para la organización. Estas decisiones debieran ser registradas. Política de seguridad de la información (SE DEBE ESTABLECER) Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización. El documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.
- 19. Revisión de la política de seguridad de la información debiera ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua eficiencia y efectividad La revisión de la política de seguridad de la información debiera tomar en cuenta los resultados de las revisiones de la gerencia. Debieran existir procedimientos de revisión gerencial, incluyendo un cronograma o el período de la revisión. El input para la revisión gerencial debiera incluir información sobre: a) retroalimentación de las partes interesadas b) resultados de revisiones independientes c) estado de acciones preventivas y correctivas d) resultados de revisiones gerenciales previas e) desempeño del proceso y conformidad con la política f) tendencias relacionadas con amenazas
- 20. INPUT El input para la revisión gerencial debiera incluir información sobre: a) retroalimentación de las partes interesadas b) resultados de revisiones independientes c) estado de acciones preventivas y correctivas d) resultados de revisiones gerenciales previas e) desempeño del proceso y conformidad con la política f) tendencias relacionadas con amenazas
- 21. LOS OUTPUTS de la revisión gerencial debiera incluir cualquier decisión y acción relacionada con: a) mejora del enfoque de la organización para manejar la seguridad de la información b) mejora de los objetivos de control y los controles; c) mejora de la asignación de recursos y/o responsabilidades.
- 22. Organización de la seguridad de la información Organización interna Manejar la seguridad de la información dentro de la organización. Se debiera fomentar un enfoquemulti-disciplinario para la seguridad de la información.
- 23. Compromiso de la gerencia con la seguridad de la información La gerencia debiera: Revisar la efectividad de la implementación de la política de seguridad de la Información Proporcionar los recursos necesarios para la seguridad de la información; Aprobar la asignación de roles y responsabilidades específicas para la seguridad de la información a lo largo de toda la organización iniciar planes y programas para mantener la conciencia de seguridad de la información asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización.
- 24. Coordinación de la seguridad de la información la coordinación de la seguridad de la información debiera involucrar la cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como seguros, temas legales, recursos humanos, Esta actividad debiera: identificar cómo manejar las no-conformidades promover de manera efectiva la educación, capacitación y conocimiento de la seguridad de la información evaluar la información recibida del monitoreo y revisar los incidentes de seguridad de la información, y recomendar las acciones
- 25. Asignación de las responsabilidades de la seguridad de la información Las personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y debieran determinar si cualquier tarea delegada ha sido realizada correctamente. Se debieran establecer claramente las áreas de las cuales son responsables las diferentes personas; en particular se debiera realizar lo siguiente: I. se debieran identificar y definir claramente los activos II. se debieran definir y documentar claramente los niveles de autorización III. se debiera designar la entidad responsable de cada activo o proceso de seguridad
- 26. Acuerdos de confidencialidad Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la información. “sólo lo que necesita saber”
- 27. Contacto con las autoridades cuándo y cuáles Ejemplo bomberos, proteccion civil Policia
- 28. Contacto con grupos de interés especial Se debieran mantener contactos apropiados con grupos de interés especial recibir advertencias tempranas de alertas, asesorías y avisos relacionados con ataques y vulnerabilidades ****************************** ****************************** ********************
- 29. Grupos o personas externas Mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados o manejados por, grupos externos Se debiera controlar cualquier acceso a los medios de procesamiento de información de la organización y el procesamiento y comunicación de la información realizado por grupos externos.
- 30. Identificación de los riesgos relacionados con los grupos externos Donde existe la necesidad de permitir que un grupo externo tenga acceso a los medios de procesamiento de la información o la información de una organización, se debiera llevar a cabo una evaluación del riesgo