HP. ISO 27001

Page 1

Gestión de Seguridad de la Información ISO/IEC 2700 / 01:2005

www.maat-g.com © maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 1

Š maat Gknowledge S.L. Todos los derechos reservados 20 008

PĂĄgina 2

Gestión de Seguridad de la In nformación. ISO/IEC 2 00 200 27001:2005 •

La norma ISO/IEC 27001:2005 fue conffeccionada para proveer un modelo para el establecimiento, implantación, operación, medición, revisión, mantenimiento y mejora de nformación (SGSI). un Sistema de Gestión de Seguridad de la In La adopción del SGSI es una decisión estrratégica de la organización, pues el mismo está influenciado p por las necesidades y objetivo j os de la misma, los requerimientos q de seguridad, g los procesos, el tamaño y la estructura de laa empresa.

© maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 3

Proceso de Desarrollo Proceso de Desarrollo •

Los Sistemas de Gestión de Seguridad dee la información (SGSI), basado en las normas ISO/IEC 27001:2005 e ISO 27002:2005 (ISO/IEC ( 17799:2005), que desarrollamos para nuestros clientes se fundamentan en la ap plicación del proceso de mejora continua en los aspectos de seguridad de la información,, bajo la información inicial proporcionada por nuestra identificación y evaluación de riesgos de seguridad. Este sistema se materializa, de manera secu uencial, siguiendo g el siguiente g proceso: p

© maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 4

Implantación de ISO/IEC 27001::2005 El punto de partida de aplicación inicial, y del ciclo de mejora que aplicamos en nuestros SGSI es la identificación y evaluación de los riesgos de Seguridad de la Información. Para ello, ello un proceso previo de información fundamental es la disposición de un completo inventario de activos, el cual nos permite clasificarlos y controlarlos de manera adecuada, proporcionando la información necesaria para en el proceso de identificación y evaluación de riesgos de seguridad informática sobre dichos activos.

Servidores corporativos

Oficina Principal

Clientes Usuarios de internet La competencia Hackers, etc.

PCs de empleados

Servidores Web

Servidor transaccional

Firewall

Switch IDS Servidor de correo

M onitorización Actualización de antivirus M antenimiento de firewalls Análisis de vulnerabilidades Confianza y PKI, Etc.

Servidor de autorización y autenticación

IDS Firewall

Servicios críticos: Financieros ERPs, Financieros, ERPs CRM s, etc.

Consolas de gestión Túnel VPN

Túnel VPN

PCs de empleados

Switch

Firewall VPN

Router

Servidores

Delegación

• • • • • • •

Consola antivirus

Firewall

Router

Gateway VPN

Los controles de seguridad que desarrollamos e implantamos para minimizar y/o eliminar los riesgos de seguridad detectados, de modo general, se centran en las siguientes áreas:

CA Interna

Balanceador de carga

Servicios externos

Conexiones remotas

Seguridad del Personal. Seguridad Física y del Entorno. Gestión de comunicaciones y operación. Control de Accesos. Desarrollo y Mantenimiento de Sistemas. Gestión de la Continuidad del Negocio. Conformidad Legal.

© maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 5

Motivos para afrontar este procceso. Aspectos a Considerar Una cadena es tan fuerte como el más débil de sus eslabones

Las técnicas criptográficas son computacional‐ mente seguras, pero los usuarios

Seguridad no es sólo confidencialidad

• •

Es necesario considerar ... ... Autenticación, Confidencialidad, Integridad y Disponibilidad

• •

Se puede dar un paso más y considerar también ... No repudio, Responsabilidad, Trazabilidad y Veracidad Los incidentes de seguridad se duplican cada año

No quieren usar passwords de calidad No quieren u olvidan cifrar ficheros y correos Los descifran y olvidan borrar el fichero en claro Los imprimen y los dejan en ... • la impresora, la mesa, la papelera, el metro

La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía

Cada día surgen entre 2 y 5 nuevas vulnerabilidades La seguridad se rompe frecuentemente y cuando se rompe ... • • •

Se rompe por completo Lo hace de forma impredecible Se pasa del aburrimiento al pánico en minutos

© maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 6

Factores de Éxito

• Política de seguridad coherente con los objetivos • Un enfoque de la seguridad consistente con la cultura • El apoyo y compromiso de la dirección • Comprensión de los requerimientos de la seguridad • La convicción de todos de la necesidad de la l seguridad • La distribución de guías sobre la política de seguridad • Proporcionar una formación adecuada • Un sistema integrado y equilibrado de medida

© maat Gknowledge S.L. Todos los derechos reservados 20 008

Página 7

Š maat Gknowledge S.L. Todos los derechos reservados 20 008

PĂĄgina 8

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.