Scribd
Cargar
86 vistas20 páginas

Seguridad Informática y Normas ISO

Este documento proporciona información sobre la Ingeniería Mecánica Automotriz en la Universidad Politécnica de Pachuca en México. Incluye una lista de profesores en el departamento y breves descripciones de las normas ISO 27001 e ISO 27701 sobre gestión de la seguridad de la información y protección de datos.

Cargado por

Nahum Vargas Cardenas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
86 vistas20 páginas

Seguridad Informática y Normas ISO

Este documento proporciona información sobre la Ingeniería Mecánica Automotriz en la Universidad Politécnica de Pachuca en México. Incluye una lista de profesores en el departamento y breves descripciones de las normas ISO 27001 e ISO 27701 sobre gestión de la seguridad de la información y protección de datos.

Cargado por

Nahum Vargas Cardenas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Universidad Politécnica de Pachuca

ING. Mecánica Automotriz

REGULACIONES
AUTOMOTRICES, LEGISLACION
Y PATENTES Aguilar Adayr
Argeles Irving
Barrón Orlando
Carrera Juan
Montalvo Antonio
Nicolas Edwin
ISO 27001 Y EXTENSION PARA LA
GESTIÓN DE INFORMACIÓN DE
PRIVACIDAD (ISO 27701)
ISO 27001:2013
¿QUÉ ES?

LA IMPORTANCIA Y LA NECESIDAD DE PROTEGER LA INFORMACIÓN

En un mundo en el que se mueven millones de datos, la continua aparición de vulnerabilidades


en los sistemas, las noticias de accesos no deseados, hacen de la seguridad un área de especial
interés para el correcto desarrollo de los negocios en esta era digital. La información es un
activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección
se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación
de una organización, y para protegerse contra la responsabilidad legal.
ISO 27001:2013
¿QUÉ ES?

Establece los requisitos para una gestión eficaz de los riesgos que pueden afectar a la
confidencialidad, integridad y disponibilidad de la información.
Tiene vocación universal, aplicable a ORGANIZACIONES DE TODOS LOS SECTORES Y
TAMAÑOS, y describe de qué debe constar un sistema de gestión de la seguridad de la
información en cualquier tipo de organización. La norma es especialmente útil cuando la
PROTECCIÓN DE LA INFORMACIÓN ES CRÍTICA, como por ejemplo, en las áreas de gobierno,
banca y finanzas, salud, empresas de servicios de tecnología de la información o
comunicaciones, o cualquier otro ámbito donde los activos de información requieran de una
adecuada protección.
ISO 27001:2013
¿QUÉ ES?

La protección de la información de carácter personal se ha convertido actualmente en un


aspecto fundamental que cualquier organización debe considerar para proteger los derechos y
libertades fundamentales de las personas físicas, como pueden ser el derecho al honor y la
intimidad, o a la privacidad de las personas. Las normativas de protección de datos establecen
requisitos que todas las entidades públicas y privadas deben considerar durante el desarrollo
de sus actividades. La ISO 27701 desarrolla una extensión para la ISO 27001, en la que se
definen requisitos específicos para el tratamiento de la información de privacidad, que
permiten asegurar el cumplimiento de los requisitos de las normativas de protección de datos.
ISO 27000 es un conjunto de estándares desarrollados por la Organización Internacional de
Normalización (ISO), que proporcionan un marco de gestión de la seguridad de la información alineados
con los objetivos de negocio, y optimizando las inversiones realizadas en controles o salvaguardas que
protejan los activos.

La serie de normas ISO 27000 constan de:


• ISO 27000: Fundamentos y vocabulario: presenta al usuario los conceptos. No certificable.
• ISO 27001: Requisitos para un Sistema de Gestión de la Información (SGSI). NORMA CERTIFICABLE.
• ISO 27002: Guía de Buenas prácticas. No certificable.
• ISO 27003: Guía de Implementación. No certificable.
• ISO 27004: Guía para Medición de la idoneidad de la implantación. No certificable.
• ISO 27005: Guía para el Análisis de Riesgos. No certificable.
• ISO 27701: Extensión a ISO/IEC 27001 e ISO/IEC 27002 para gestión de información de privacidad
AMENAZAS a las que nos enfrentamos

Password cracking
Violación de la privacidad de los empleados
Port scanning Fraudes informáticos
Escalamiento de privilegios
Virus informáticos Puertos vulnerables abiertos
Empleados deshonestos
Intercepción de mails
Desactualización Keylogging
Robo de información
Denegación de servicio Spamming
Violación de contraseñas
Incumplimiento de leyes y regulaciones
ISO 27001 E ISO 27701
ASPECTOS CLAVE

• Comprensión del CONTEXTO DE LA ORGANIZACIÓN Y LAS PARTES INTERESADAS.


• Énfasis en el LIDERAZGO DE LA DIRECCIÓN y en la definición de RESPONSABILIDADES.

• GESTIÓN DEL RIESGO; no sólo limitado al efecto negativo de la incertidumbre, sino también para
aprovechar escenarios que pueden favorecer la consecución de resultados(oportunidades).
• Implementación de CONTROLES ADECUADOS a los riesgos de la organización.
• Optimización de la GESTIÓN DE LA SEGURIDAD EN LA CADENA DE PROVEEDORES.

• CLARA ORIENTACIÓN A RESULTADOS para demostrar que el sistema de gestión es eficaz.


• GESTION DEL CAMBIO como estrategia integrada hacia la MEJORA Y LA INNOVACIÓN.
• Enfoque a la MEJORA CONTINUA.
ISO 27001 E ISO 27701
ASPECTOS CLAVE

Sólo hay una forma de gestionar de forma adecuada la seguridad


de la información:

Identificar, analizar, evaluar y gestionar los riesgos de seguridad de la


información a los que se enfrenta mi organización, y tomar las medidas
técnicas, organizativas y legales necesarias.
ISO 27001 E ISO 27701
¿QUÉ PUEDO ESPERAR?

• Ayuda a conocer y gestionar de forma adecuada la • Asegura el cumplimiento de la normativa de protección de datos
información critica de la empresa y los datos personales
manejados) • Preservación adecuada de la información

• Reducirá al mínimo todo riesgo asociado a seguridad de • Ayuda a gestionar de forma segura la información de nuestros
la información clientes, garantizado que se establecen los controles necesarios

• Proporcionará mecanismos y controles para la protección • Control de los accesos a la información.


de los activos de la empresa
• Conformidad con la legislación y reglamentación
• Decisiones basadas en indicadores:
• Mejora en la percepción interna y externa de la organización
• Claridad en la identificación de funciones y
responsabilidades. • Reducción de fallos y errores al integrar el riesgo en la gestión
preventiva y de mejora
• Gestión eficaz de las incidentes Estrategias de continuidad
• Y mucho más...
ISO 27001 E ISO 27701
¿QUÉ PUEDO ESPERAR?

Cualquier organización, grande o pequeña, privada o de carácter público,


independientemente del sector al que pertenezca, puede implementar y certificar la
ISO 27001 y la extensión de la misma definida en la ISO 27701 para evidenciar una
gestión eficaz de la seguridad de la información que precisa para el desarrollo de su
actividad, y para la protección de los datos personales que cualquier organización
utiliza.
En algunos sectores en particular, donde se manejan elevados volúmenes de
información, se maneja información especialmente confidencial o critica, implementar y
certificar estas normas se convierte en un objetivo especialmente necesario.
CONTEXTO ORGANIZACIONAL
En el apartado 4 de la norma ISO 27001 y 5.2 de la ISO 27701, se establecen los requisitos
para el análisis del contexto de la organización, como fase inicial para la definición de un
SGSI:
• Conocimiento de la organización y su contexto:
• La organización debe estudiar y analizar su entorno:
• Externo: aspectos de mercado, técnicos, políticos, económicos, sociales,..
• Interno: aspectos culturales, económicos, operativos, de desempeño,..
• • ¿Quiénes son sus partes interesadas? ¿Cuáles son sus necesidades y expectativas?
• Se ha de definir el ALCANCE de la certificación teniendo en cuenta el análisis de contexto de
la organización.
• La organización debe establecer, documentar, implementar y mantener un sistema de gestión
de seguridad de la información.
LIDERAZGO

La Alta Dirección de la compañía debe demostrar liderazgo y


compromiso a través de las siguientes acciones:

• Asegurándose de la integración de los requisitos del sistema de gestión de


seguridad en los procesos de negocio de la Organización.
• Definiendo la Política de Seguridad.
• Estableciendo roles, responsabilidades y autoridades.
• Promoviendo el uso del enfoque a procesos y el pensamiento basado
en riesgos.
PLANIFICACIÓN

La planificación es la etapa más importante, pues de ella depende el éxito de la


implementación del sistema.
Algunos de los hitos críticos son:
• Riesgos y oportunidades. Debiendo de considerar especialmente los riesgos que pueden
afectar a la disponibilidad, integridad y confidencialidad de la información y los datos de
carácter personal.
• Establecimiento de objetivos estratégicos de la gestión de la Seguridad.
• Planificación de los cambios. Los cambios se deben llevar a cabo de manera
planificada y sistemática.
SOPORTE

El Sistema de Gestión de Seguridad de la Información según las normas ISO 27001 E ISO
27701 se fundamenta en el uso eficiente de los recursos:
• Recursos: Humanos, Infraestructuras y Ambiente para la operación de los procesos, de
seguimiento y medición, conocimientos organizativos
• Competencia. Se ha de determinar la competencia necesaria de las personas que realizan un
trabajo que afecta al desempeño y eficacia del sistema, SUBCONTRATACIÓN INCLUIDA
• Toma de Conciencia de política, objetivos pertinentes, su contribución al éxito y las
implicaciones de desviarse de lo previsto
• Comunicación interna y externa.
• Información documentada (Mayor flexibilidad).
OPERACIÓN

En el apartado 8 de la norma ISO 27001 se definen los mecanismos que la organización debe aplicar
para el tratamiento de los riesgos de seguridad de la información, para lo cual propone una serie de
controles de seguridad que incluyen medidas de:

• Seguridad de los RRHH • Gestión de incidencias


• Organización de la Seguridad • Seguridad de las Comunicaciones
• Seguridad Física • Seguridad de las operaciones
• Control de Accesos • Continuidad del Negocio
• Gestión de relaciones con terceros • Cumplimiento
• Criptografía • Seguridad en el Desarrollo y Soporte

En la norma ISO 27701 se hace un recorrido a lo largo de estos controles de seguridad, incorporando en
los casos necesarios medidas adicionales adecuadas para una protección eficaz de la información de
privacidad, de forma ajustada a los requisitos a las normativas de protección dedatos
EVALUACIÓN DEL DESEMPEÑO

La ISO 27001 en su apartado 9 y la ISO 27701 en el punto 5.7, definen los


requisitos para que, una vez implementado el sistema de gestión, se realice un
seguimiento permanente y revisiones periódicas para mejorar su desempeño:

• Seguimiento, medición, análisis y evaluación


• Auditorías internas a intervalos planificados
• Revisión del Sistema por la Dirección. Se han de definir las entradas y
salidas de la revisión.
EXTENSIÓN ISO 27701

La ISO 27701, como extensión para la gestión de información de privacidad,


incorpora dos puntos adicionales en los que contempla requisitos específicos para el
tratamiento de los datos personales, entre los que se incluyen consideraciones como:
• Cumplimiento del derecho de información
• Cumplimiento de los derechos de acceso, rectificación, cancelación
• Gestión del consentimiento de los afectados
• Consideraciones para las transferencias internacionales de datos
• Limitación de la finalidad y la conservación
• Usos de marketing y publicidad
“ESTO NO ES PARA MI...”

• Uno de los grandes "peros" que las Nada más alejado de la realidad. TODAS las
empresas sin excepción manejan información. Ninguna
empresas ponen a la organización puede darse el lujo de ignorar su
implementación de la norma ISO importancia ya que la mayor parte del éxito depende
de ella. La norma no sólo busca controlar el área
27001 es que ellos no son una Informática, y a los despliegues tecnológicos o de
empresa de informática y Infraestructura (si son necesarios), sino que, sobre todo,
está destinada a gestionar los aspectos organizativos.
que no les afecta

NO ES UNA NORMA DESTINADA A PROTEGER


EXCLUSIVAMENTE AL ÁREA INFORMÁTICA.
¿PUEDE UNA ORGANIZACIÓN PERMITIRSE NO
PROTEGER SU INFORMACIÓN?
Los motivos por los que la seguridad debe formar parte de cualquier organización,
independientemente de su sector económico o de su tamaño, son muchos y variados, algunos de los
cuales aparecen con mucha frecuencia en los medios de comunicación: fraudes electrónicos; casos de
phishing en la banca, filtraciones no deseadas de información o de datos personales, cortes en las
comunicaciones, etc.
Las normativas de protección de datos, además, requieren que las organizaciones apliquen las
medidas adecuadas para salvaguardar los derechos de las personas y, en concreto, su privacidad.
Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y in muchos
casos económicamente gravosos: paradas de producción, pérdidas de clientes, perdida de
reputación, incluso, si afectan a datos personales, derivar en sanciones económicas por las
autoridades competentes

También podría gustarte