11. Ponencias

Ponencias impartidas en:

  • IV Jornadas de Ingeniería. UJGH. Maracaibo, Edo Zulia. Venezuela. Noviembre 2013.

ujgh

Anuncios

10. Complementos

Complementos

Presentación

Mapa Mental

mapa mental(Para agrandar, haga click en la imagen)

Descargas

Informes, plantillas, listas de verificación

Artículos relacionados

ISO 27001 -Lista Documentacion requerida

ISO 27000 – Integration of Infosec IT and Corporate Governance

ISO 27000 – Privacy – and cyber security

ISO 27001 – Case study for Data Centers

ISO 27001 vs ISO-9001-Matrix

ISO-27001 – Applicability divided by industry

Banner De todo un Poco (1) 600 px

07. Pasos para lograr ISO 27000

pasos-iso-27000

Pasos a seguir

pasosPara lograr implantar ISO 27000 se pueden seguir un sinnúmero de pasos o caminos, y cada autor muestra su receta personal. Acá les muestro lo que considero deben ser los sencillos pasos para lograr implantar ISO 27000 en una organización:

  1. Lograr el compromiso de la Gerencia.
  2. Establecer y adiestrar el equipo de Implantación.
  3. Elaborar la documentación del SGSI.
  4. Auditar el SGSI.

A continuación se explicará cada una de ellas.

Lograr el compromiso de la Gerencia.

GerenciaSin el compromiso de la Gerencia, el Sistema no tendrá el apoyo ni la fuerza para su aceptación e implantación en la organización.

El efecto del apoyo debe caer en cascada, desde los niveles altos hacia abajo en la organización.

Establecer y adiestrar el equipo de Implantación.

equipoEl equipo debe tener un líder establecido.

Todos los miembros deben ser designados formalmente y deben recibir adiestramiento en Gestión de ISO 27000, Documentación y Auditoría, como mínimo.

Elaborar la documentación del SGSI.

documentacionLa documentación se debe elaborar de la manera más sencilla posible.

  • Piense lo que hace
  • Escriba lo que piense
  • Haga lo que escribió

Los manuales deben ser organismos vivos, sujetos a constante modificación, y disponibles para todos los que los requieran.

¿Qué se debe documentar?

  • Evaluación y tratamiento de riesgos
  • Políticas de Seguridad
  • Aspectos Organizativos
  • Gestión de Activos
  • Seguridad del Talento Humano (antes y durante contratación)
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de accesos
  • Adquisición, desarrollo y mantenimiento de S.I.
  • Gestión de incidentes de seguridad

Auditar el SGSI.

auditoriaSe debe verificar, mediante Auditorías, que el SGSI está apto para funcionar.

Si se presentan No Conformidades, se deben solucionar.

Se pueden hacer Auditorías Internas para verificar, pero se deben hacer Auditorías Externas para la Certificación, por parte de los organismos autorizados.

¿Cuánto dura?

tiempoY, ¿en cuánto tiempo se hace?

Depende del compromiso, de los recursos empleados, del conocimiento, y de factores externos que pueden influir.

En promedio se puede llevar de 12 a 18 meses para su implantación.

Banner De todo un Poco (1) 600 px

06. Ventajas

ventajas iso 27000

  • Aseguramiento de la seguridad de la información, lo que aumenta la confianza por parte del cliente
  • Elemento diferenciador, que permite destacar sobre la competencia
  • Cumplimiento de las normativas legales relativas a la protección de datos, lo que permite reducir los problemas con clientes y usuarios
  • Reducción del impacto de los riesgos, que en caso de materializarse las amenazas, puedan representar pérdidas (de capital, de facturación, de oportunidades de negocio, por reposición de los daños causados, reclamaciones de clientes, sanciones legales, etc), al aumentar la seguridad efectiva de los sistemas de información, con una mejor planificación y gestión de la seguridad.
  • Garantías de continuidad del negocio basándose en el Plan de Contingencias.
  • Mejora de la imagen de la organización y aumento del valor comercial de la empresa y sus marcas.
  • Incremento de los niveles de confianza de clientes, proveedores, accionistas y socios.
  • Mejora del retorno de las inversiones, al tener mejor criterio según los riesgos residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el negocio.
  • Mejora continua a través de la metodología PDCA (Planificar, Hacer, Verificar y Actuar).

Banner De todo un Poco (1) 600 px

05. Organizaciones en que aplica

organizaciones

Esta norma puede aplicarse a cualquier organización para la que la información con la que trata sea importante. Por lo tanto, prácticamente cualquier organización que cuente con sistemas de información debería plantearse implantar la norma ISO 27000.

No existe limitación en cuanto al tamaño de la organización.

Implantando la norma ISO 27000 se establecerán controles y procedimientos adecuados a cada organización, en función de su capacidad para implantarlos.

De acuerdo al ISO Data Survey,

  • en el año 2012, existían 88.268 empresas certificadas
  • en el año 2013, se suman 22.349 empresas certificadas
  • en el año 2014, se suman 23.005 empresas certificadas
  • en el año 2015, se suman 27.536 empresas certificadas

empresas iso 27000 mundo

De esas empresas, 699 son latinoamericanas, distribuidas de la siguiente manera:

empresas iso 27000 latinoamerica

A partir del 2014, Venezuela entró en la lista, ya que PDVSA, la estatal petrolera, fue certificada en ISO 27000.

La ISO Data Survey se puede visualizar y/o descargar desde la página de la ISO.

Banner De todo un Poco (1) 600 px

04. Beneficios de ISO 27000

beneficios iso 27000

Implantar la norma ISO 27000 permite a las organizaciones demostrar que dispone de los controles y procedimientos adecuados para asegurar el tratamiento seguro de los datos y la información con la que se trata.

Además, cuenta con un ciclo PDCA (Plan-Do-Check-Act), que asegura la mejora continua en lo que respecta a los controles de seguridad establecidos en la organización.

plan do check act

Además, implantando la norma ISO 27000 en la organización se obtiene un importante elemento diferenciador, que a un costo bajo permite destacar sobre la competencia a la hora de pujar sobre una oferta.

diferenciacion

Banner De todo un Poco (1) 600 px

03. Familia ISO 27000

familia iso 27000

Estructura

Las Normas ISO normalmente están estructuradas en forma piramidal, y las Normas ISO 27000 no son la excepción:

estructura normas

Fuente: Ideas para PYMES

Normas de la Familia ISO 27000

  • ISO 27000 – vocabulario estándar para el SGSI.
  • ISO 27001 – especifica los requisitos para la implantación del SGSI.
  • ISO 27002 – código de buenas prácticas para la gestión de seguridad de la información.
  • ISO 27003 – directrices para la implementación del SGSI.
  • ISO 27004 – métricas para la gestión de seguridad de la información.
  • ISO 27005 – gestión de riesgos en seguridad de la información.
  • ISO 27006 – requisitos para acreditación de organizaciones que proporcionan certificación de SGSI.
  • ISO 27007 – Es una guía para auditar al SGSI.
  • ISO 27799 – Es una guía para implementar ISO 27002 en la industria de la salud.
  • ISO 27035 – actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.

Banner De todo un Poco (1) 600 px