Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27000 – 27001 Seguridad Informática RDCE - Coggle Diagram
ISO 27000 – 27001 Seguridad Informática RDCE
ISO 27000
¿Qué hacer?
Lograr el compromiso de la gerencia
Establecer y adiestrar el equipo de implantación.
Elaborar la documentación del SGSI
Auditar el SGSI
Ventajas
Aseguramiento de la seguridad de la inormación
Aumenta confianza por parte del cliente
Elemento diferenciador
Cumplimiento de las normativas legales relativas a la protección de datos.
¿Qué es ISO?
Estandarización de normas de productos y seguridad
Más de 17000 estándares internacionales
¿Qué es ISO 27001?
Establece requisitos mínimos de un SGSI
Se basa en la aplicación del ciclo PDCA (Plan-Do-Check-Act. Planifica, ejecuta, supervisa y actúa.
Demuestra que se cumple con los requisitos mínimos para asegurar la seguridad de la información.
¿Dónde se puede implantar?
88268 en el mundo
No importa el tamaño
Se puede aplicar en cualquier empresa que tenga Sistemas de información.
Beneficios
Demostrar que dispone e controles y procedimientos adecuados para asegurar el tratamiento seguro de datos e información.
Asegura mejora continua en controles de seguridad
Se obtiene un importante elemento diferenciador
Familia ISO 27000
ISO 27000
Vocabulario
ISO 27001
Requisitos de implantación
ISO 27002
Buenas prácticas
ISO 27003
Directrices
ISO 27004
Métricas
ISO 27005
Gestión de riesgos
ISO 27006
Requisitos para acreditar certificadores
ISO 27007
Guía para auditoría
ISO 27035
Incidentes de seguridad
Seguridad de la información
Son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, datos o capacidades.
Marco regulatorio
Ley orgánica de protección de datos (LOPD)
Regula a nivel legal una parte importante de los SI de la empresa, los datos de carácter personal.
Reglamento de desarrollo RD1720/2007
Especifica controles técnicos, físicos y organizativos para garantizar la protección de citados datos.
Los datos de carácter personal son un subconjunto del activo más importante que maneja un empresa
Información confidencial
Planes estratégicos, salario del personal, operaciones financieras.
Información clasificada
Ofertas comerciales, ERP, contabilidad, planes ejecutivos.
Información pública
Site público de la empresa, publicidad
Datos de carácter personal
Empleados, pacientes, clientes
En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por:
Manual de calidad y seguridad
Procesos / procedimientos operativos generales
Registros de calidad de seguridad
Instrucciones de trabajo específicos
Nueva ISO 27001: 2003
Esta norma especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o parte de las mismas.
Desaparece enfoque a procesos, cambio de estructura que facilitas la integración, nuevo modelo de estructura documental, enfoque del análisis del riesgos de la fase de planificación y operación y se reducen los controles.
Organización de la seguridad
La organización de la seguridad es otro aspecto de importancia durante el diseño del SGSI
Se debe realizar revisiones de aspecto organizativo y asignar nuevas responsabilidades
Al plantear la nueva organización y responsabilidades se debe identificar posibles riesgos y se debe tomar medidas al respecto.
Por ejemplo: los equipos de limpieza suelen tener acceso a todos los despachos, en otros casos es posible firmar acuerdos de confidencialidad.
La última fase del diseño del SGSI es la concienciación y formación del personal con el fin de crear una cultura de seguridad.
ISO, COBIT E ITIL
Marco común
Brindan una estructura sólida y lógica que ayuda a cada empresa a explotar mejor sus propios procesos, dinámicas y talentos.
Flexibilidad
Puedes adaptar varias de ellas en paralelo.
Base de conocimiento
Permite el aprovechamiento de la base de conocimiento con las expectativas de los clientes.
Niveles de servicio
Definen los parámetro de penetración y cumplimiento de cada proceso de cara a tus clientes.
Adaptabilidad
Evolucionan y se adaptan al ritmo de las tendencias actuales.
Normas ISO
Positivo
Funciona para PYMES
Mejor para procesos de producción y distribución de productos
Centrado en los procesos organizativos y de procedimientos competitivos
Consigue mejoras en un corto plazo y resultados visibles.
Incrementa la productividad y la calidad.
Mejora la adaptación de los procesos a los avances tecnológicos
Negativo
Demanda un proceso de cambio para toda la organización
Requiere de una inversión de tiempo/dinero importante.
Ofrece una resistencia al cambio en empresas de tipo conservador o familiar.