• Author / Uploaded
• fernandaorozco

Citation preview

ISO 27001 Es un sistema de gestión que comprende la política, estructura organizativa, procedimientos, procesos y recursos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) ; La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”; Esta norma utiliza el modelo “Plan-Do-Check-Act” (PDCA) aplicado a toda la estructura de procesos de ISMS. Un ISMS se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas prácticas y objetivos de control ISO 17799, el cual se centra en la preservación de las características de confidencialidad, integridad y disponibilidad. ¿Qué significa el modelo PDCA? – Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización. – Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos. – Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión. – Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.

¿Cuándo se – 1995 – 1999 – 1999 – 2000 – 2002 – 2004

convirtió en norma? BS 7799-1:1995 (Norma británica) BS 7799-2:1999 (Norma británica) Revisión BS 7799-1:1999 ISO/IEC 17799:2000 (Norma internacional código de prácticas) Revisión BS 7799-2:2002 UNE 71502 (Norma española)

– – –

2005 Revisión ISO/IEC 17799:2005 2005 Revisión BS 7799-2:2005 2005 ISO/IEC 27001:2005 (Norma internacional certificable)

¿Porque poner en funcionamiento el SGSI? –

Reconocimiento oficialmente reconocido para la gestión de la seguridad de la información.

–

Protege la información.

–

Permite garantizar la eficacia de los esfuerzos desarrollados en materia de gestión de seguridad.

–

Confianza y reputación corporativa hacia los clientes, empleados, accionistas y proveedores; cuando ellos acceden a la información de manera segura.

–

Auditoria y control de riesgos constantemente; que permiten identificar debilidades del sistema.

–

Posibles reducciones en las primas de su seguro, vinculadas a una posible disminución de incidentes en materia de seguridad.

–

Evitar pérdidas, robos, riesgos, corrupción y descuidos con los activos de la información.

¿A quién puede interesar? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI); ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma y son: 4. ISMS: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará las actividades globales de su negocio y los riesgos. Donde este está basado en el modelo PDCA; los documentos de estos deben de ser debidamente protegidos y controlados. Es necesario un procedimiento documentado y a su vez incluyen los siguientes criterios: Aprobación de documentos antes de su emisión, revisión y actualización y necesidad de reaprobación, identificación de cambios y versiones en vigor, garantizar que las versiones aplicables se encuentren en los puntos de uso, garantizar que los documentos permanecen legibles y fácilmente identificables, garantizar que están a disposición de las personas que los necesitan, garantizar que son transferidos, almacenados y destruidos según lo establecido en el ISMS, garantizar que se identifican los documentos de origen externo, garantizar que se controla la distribución e documentos, prevenir el uso no intencionado de documentos obsoletos, identificar los obsoletos caso de que sean retenidos por algún motivo. 5. Responsabilidades de la Administración: debe proporcionar una alta dirección y proveerá evidencias de su compromiso con el proyecto estableciendo la Política del ISMS, asegurando que se establecen Objetivos para el ISMS y que se

planifica su consecución, estableciendo roles y responsabilidades, comunicando la importancia de logar los Objetivos y estableciendo la Política del ISMS, comunicando responsabilidades y la necesidad de la búsqueda de la mejora continua, suministrando recursos, decidiendo criterios de aceptación de riesgos y Niveles de Riesgo Aceptables, asegurándose de que se realizan Auditorías Internas, realizando Revisiones por la Dirección del ISMS. La organización asegurará que los empleados que sean responsables de algo en el ISMS sean competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria; y ser consciente de la importancia de sus actividades y de cómo pueden contribuir a la consecución de los Objetivos. 6. Auditoría Interna del ISMS: estas auditorías del ISMS deben de realizarse aintervalos previamente planificados en un Programa de Auditorías, en función de la importancia de los procesos y áreas a auditar; obteniendo unos resultados previos. La selección de auditores y el desarrollo de la auditoría deben garantizar la total imparcialidad y objetividad del proceso de auditoría. Un auditor no debe auditar nunca su propio trabajo. Requisitos mínimos: Intervalos planificados y como mínimo 1 al año, debe incluir oportunidades de mejora y necesidad de cambios en el ISMS, analizar posibles cambios en la Política y en los Objetivos y los resultados de la RxD deben estar documentados manteniendo registro. 7. Administración de las revisiones del ISMS: Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto anterior serán claramente documentados y los mismos darán origen a esta actividad. 8. Mejoras del ISMS: el mejoramiento continúo de la eficiencia del ISMS usando las políticas de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración. Este posee dos tipos de acciones: las acciones correctivas (AACC)que incluyen identificar No Conformidades, determinar sus causas, evaluar necesidad de actuación, determinar AACC necesarias, registrar resultados de las acciones, revisar las AACC tomadas y las acciones preventivas que incluyen identificar No Conformidades Potenciales, determinar sus causas, evaluar necesidad de actuación preventiva, determinar AAPP necesarias, registrar resultados de las acciones, revisar las AAPP tomadas. ¿Qué es un control? Es lo que me permite garantizar que cada uno de los aspectos que se valoraron con riesgos queda cubierto y auditable de muchas maneras; lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo o sea que esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. ¿Cuáles son esos controles? Aquí los dividiremos en varios grupos y cada uno abarca uno o más controles:

–

Política de seguridad (2 controles):

Apoyo y orientación en el camino con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes; (1): política de seguridad: Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. (2): plan de seguridad: conjunto de acciones o líneas rectoras que se deberán cumplir.

–

Aspectos organizativos para la seguridad (11 controles): Su responsabilidad radica en diseñar e implementar una simple base de datos, que la redacción de la documentación inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos; este grupo de controles se subdivide en: Organización Interna gestionar la seguridad de la información dentro de la organización mediante Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. Partes Externas mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso partes externas o que son procesados, comunicados o dirigidos por éstas.

–

Clasificación de activos (5 controles): En cuanto a este se debe de tener que todo recurso debe estar perfectamente inventariado con el máximo detalle posible, que se debe documentar el uso adecuado de los recursos y que toda la información deberá ser tratada de acuerdo a su nivel ya que es imposible pensar en seguridad, si no se sabe ciertamente lo que se posee; este está subdividido en: Responsabilidad por los activos donde logramos y mantenemos la protección adecuada de los activos organizacionales. Clasificación de la información nos asegura que la información recibe el nivel de protección adecuado.

–

Seguridad ligada al personal (9 controles): Este es un departamento ausente en casi todas las empresas (viene siendo como una asociación de el departamento de seguridad de la información y recursos humanos) y son los encargados de ayudar a avanzar hacia un objetivo “consciencia y adhesión de la información con ellos mismos; la importancia vital de la información en la organización” garantizando que el personal logre la misión; está basado en tres principios básicos de recursos humanos Antes de la contratación laboral asegura que los empleados, contratistas, y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones; el contrato es muy importante en esta etapa ya que en este deben de estar los acuerdos confidenciales, propiedad intelectual y protección de datos; en este se debe tener bien claro lo que se desea del personal, no omitiendo ningún detalle.

Durante la vigencia de la contratación laboral asegura que todos los empleados, contratistas y usuarios de terceras partes estén consientes de las amenazas y preocupaciones respecto a la seguridad de la información, sus responsabilidades y sus deberes y que estén equipados para apoyar la política de seguridad de la organización en transcurso de su trabajo normal, al igual que reducir el riesgo de error humano. Terminación o cambio de contratación laboral asegura que los empleados, los contratistas y los usuarios de terceras partes salen de la organización o cambian su contrato laboral de forma ordenada.

–

Seguridad física y del entorno (13 controles): Este se subdivide en Áreas seguras Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga para evitar el acceso físico no autorizado, el daño e interferencia a las instalaciones y a la información de la organización. Seguridad de los equipos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software donde evitamos pérdida, daño, robo o puesta en peligro de los activos y la interrupción de las actividades de la organización. Por seguridad y control se debe de tener la siguiente documentación rigiendo este grupo de controles: Documentación de control de accesos y seguridad perimetral general, documentación de CPDs, planos de instalaciones, material informático y de comunicaciones a nivel físico, seguridad física en el almacenamiento y transporte de material informático y de comunicaciones, redistribución o recalificación de elementos.

–

Gestión de comunicaciones y operaciones (32 controles): Este se subdivide en: Procedimientos operacionales y responsabilidades que nos garantiza la operación correcta y segura de los servicios de procesamiento de información es confiable; identifica los responsables de la información y sus funciones, donde evitan la “imprescindibilidad” de ciertos administradores, evitan ambigüedades el procedimientos y detectan ausencias procedimentales. Gestión de la prestación del servicio por terceras partes es donde se implementa y mantiene un grado adecuado de seguridad de la información y de la prestación del servicio, de conformidad con los acuerdos de prestación del servicio por terceras partes; donde se deben de cumplir con unos requisitos documentación adecuada de los servicios que se están prestando, medidas a adoptar para la revisión, monitorización y auditoría de los mismos, documentación adecuada que permita regularizar y mantener un eficiente control de cambios en estos servicios. La planificación y aceptación del Sistema. Esdiseñar, planificar, probar, adecuar y desarrollar criterios de aceptación/actualización de metodología que pueda ser implantada a cualquier sistema de producción que permite minimizar el riesgo de fallas de los sistemas; generalmente se toma como material la creación de maquetas con el mas mínimo detalle del entorno de producción de la empresa (para que esta metodología que se tome en base de esta maqueta sea lo más apropiado posible). Protección contra códigos maliciosos y móviles protección de la integridad del software y de la información o antipáticamente detección, prevención y recuperación de la información ante cualquier tipo de virus; y es mucho mascomún cuando una empresa tiene el modelo cliente-servidor y deja el porvenir de su información bajo la responsabilidad de un producto y

nada más donde una medida se basa en la concientización de los clientes u empleados de cómo deben de actuar ante un virus (procedimientos). Respaldo mantener la disponibilidad de la información y de los servicios de procesamiento de información, realizando Backup de respaldo y recuperación pero sin antes preparar al personal para que implementen con prácticas y procedimientos. Gestión de la seguridad de las redes asegurar la protección de la información en las redes y la protección de la infraestructura de soporte mediante controles técnicos, que evalúen permanentemente los servicios que la red ofrece, tanto propios como tercereados. Manejo de los medios un medio es un elemento capaz de almacenar información y este evita la divulgación, modificación, retiro o destrucción de medios no autorizados, su uso incorrecto y la interrupción en las actividades del negocio. Intercambio de la Información aquí se encuentran unas medidas para el mantenimiento de la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa mediante políticas, procedimientos y controles para el intercambio de información para cualquier tipo y medio de comunicación a emplear, acuerdos, funciones, obligaciones, responsabilidades y sanciones de todas las partes intervinientes, medidas de protección física de la información en tránsito, consideraciones para los casos de mensajería electrónica, medidas particulares a implementar para los intercambios de información de negocio, en especial con otras empresas. Servicios de comercio electrónico este posee unos controles que nos garantizan la seguridad de los servicios de comercio electrónico y mecanismos de la integridad de la totalidad de la información disponible y su utilización segura; ya que ningún empleado puede realizar una transacción personal con un servidor ajeno al de la compañía; cuando la compañía hace uso de este servicio debe de asegurar a los clientes metodologías seguras de pago, confidencialidad e integridad de la transacción, mecanismos de no repudio, transacciones seguras Monitoreo en esta se detectan actividades de procesamiento de la información no autorizadas mediante los siguientes controles: auditar log para registrar todos los eventos, realizar revisiones periódicas, robusta seguridad con los log por si alguien quiere borrar sus huellas, monitorear las actividades del administrador de la red (ya que a veces los pueden usurpar), implementar un sistema de alarmas para el normal funcionamiento del sistema de generador de eventos (log), sincronización de tiempos NNTP para que todos los servidores estén sincronizados por si hay que realizar una investigación de eventos.

–

Control de accesos (25 controles): Este viene después de la autenticación del usuario (que es quien dice ser), cuando el va a hacer el uso de un recurso (que si tenga o no la autorización sobre dicho activo) y está dividida en los siguientes grupos: Requisito del negocio para el control de acceso controla el acceso a la información mediante la documentación de accesos basados en los niveles de seguridad que determine el nivel de riesgo de cada activo. Gestión del acceso de usuarios asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información mediante la adecuada administración de los privilegios y sus debidas contraseñas que se deben de revisar periódicamente. Responsabilidades de los usuarios todos los usuarios ya tienen responsabilidades pero cuando se tiene acceso a la información su grado de responsabilidad con la empresa incrementa según a la información que se tenga acceso, lo que no puede suceder es que esos usuario desconozcan sus responsabilidades por lo cual se deben de seguir los siguientes como la identificación de su nivel de información (y por ende de responsabilidad),

documentarlas correctamente, difundirlas y verificar su adecuada comprensión. Control de acceso a las redes este evita el acceso no autorizado a servicios en red y es el que más posee una exigencia técnica tiene dentro de este estándar y sus políticas se basan que usuario está autorizado a acceder a que servicio de red, control de los accesos remotos a la organización donde debe de haber autenticación y las más importantes la identificación de equipamiento y de puertos de acceso (para ello deben de buscar la herramienta adecuada para que cumpla esta finalidad). En este grupo se exigen medidas automáticas, segmentación, diagnóstico y control equipamiento, direcciones y de puertos, control de conexiones y rutas de red. Control de acceso al sistema operativo en un sistema operativo los cambios son mínimos y poco frecuentes por lo tanto cuando se emplean medidas adecuadas, se puede identificar rápidamente cuando la actividad es sospechosa mediante la seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones y finalmente verificaciones de empleo de utilidades. Control de acceso a las aplicaciones y a la información evita el acceso no autorizado a la información contenida en las aplicaciones y en los sistemas de información mediante la redacción de unas políticas para el acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Computación móvil y trabajo remoto este grupo se encarga de adoptar una serie de procedimientos que permitan evaluar, implementar y controlar adecuadamente estos aspectos en el caso de poseer accesos desde ordenadores móviles y/o teletrabajo.

–

Desarrollo y mantenimiento de sistemas (16 controles): Este grupo se subdivide en: Requisitos de seguridad de los sistemas de información estos realizan un análisis de los requerimientos que se necesitan para garantizar que la seguridad es parte integral de los sistemas de información. Procesamiento correcto en las aplicaciones aquí se evitan errores, pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones mediante la validación en la entrada de datos, la implementación de controles internos en el procesamiento de al información para verificar o detectar cualquier corrupción de la información a través de los procesos y la validación de la salida de los datos; además asegurar que los datos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de esa aplicación. Controles criptográficos con este se protegen la confidencialidad, autenticidad o integridad de la información, por medios criptográficos mediante controles criptográficos y administrar las calves que se emplean de forma consciente y como medida súper importante desarrollar un documento que cubra todos los temas sobre los cuales los procesos criptográficos participarán de alguna forma y desde el mismo referenciar a todos los controles de la norma en los cuales se hace uso de claves. Seguridad de los archivos del sistema garantizan la seguridad de los archivos del Sistema principalmente realizándose una pregunta ¿Cuáles son los directorios o archivos que no deben cambiar y cuáles sí? Es decir establecer unos niveles de estático y cambio mediante control de software operacional, test de esos datos y controlar el acceso al código fuente. Seguridad en los procesos de desarrollo y soporte mantienen la seguridad del software y de la información del sistema de aplicaciones mediante el avaluo de los cambios que sufre todo el sistema mediante el desarrollo de un procedimiento de control de cambios, realización de

revisiones técnicas a las aplicaciones luego de realizar cualquier cambio teniendo especial atención a las aplicaciones críticas, documentación de las restricciones que se deben considerar en los cambios de paquetes de software, implementación de medidas tendientes a evitar fugas de información, supervisión y monitorización de desarrollos de software externalizado. Gestión de la vulnerabilidad técnica el control que se aplica en este nos permite detectar más temprano que tarde las vulnerabilidades que ocurren en el sistema reduciendo riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. –

Administración de incidentes de seguridad (5 controles): Cuando ocurre un incidente tenemos dos opciones 1) tener la capacidad de proceder y proteger inmediatamente, esta es momentánea ya que vendrá y volverá cuantas veces quiera aquel incidente y 2) “Convivir con el enemigo” y nuestra tarea será analizarlo conociendo todas sus acciones para poder erradicarlo desde la raíz, eso si este ultimo método requiere de preparación, métodos y recursos; este se subdivide en dos grupos: Reportes de eventos de seguridad de la información y debilidadessu función radica en una metodología eficiente para la generación, monitorización y seguimiento de reportes, los cuales deben reflejar, tanto eventos de seguridad como debilidades de los sistemas mediante la generación de alertas tempranas con un mecanismo de gestión para que se les responda inmediatamente cuando una de esas debilidades sea explotada por personal no autorizado. Administración de incidentes de seguridad de la información y mejoras es la metodología de un procedimientos que tengas los pasos, acciones, responsabilidades, funciones y medidas concretas; es decir crear incidentes de seguridad para difundirlos, practicarlos y simularlos que por ningún motivo afecten la producción real, para cuando realmente pasen estos incidentes estemos preparados “preparémonos para los problemas por si algún día ocurren sabremos cómo manejarlos”, “prepararnos para la guerra”, es válido afirmar que estos simulacros no se deben de realizar en tiempos en que la compañía si este en verdaderos problemas de seguridad es decir realizarlo en tiempo frio.

–

Gestión de continuidad del negocio (5 controles): Independientemente a lo que se dedica la empresa este tiene cierto grado de dependencia de la información, entonces cualquier anomalía del sistema repercute en la continuidad del negocio; Las medidas o determinaciones que se adopten para solucionar, minimizar, mejorar o asumir esos riesgos deberán expresarse por medio de planes de continuidad de negocio (o planes de contingencia), los cuales tienen el objetivo de mantener y restaurar el nivel operacional de la empresa, por medio de un conjunto de medidas que reflejen la forma de proceder y/o escalar ante la ocurrencia de cualquiera de los efectos que produciría un fallo y así contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su recuperación oportuna.

–

Conformidad con la legislación y reglamentación existente (10 controles): Este debe estar de acuerdo a las bases y regulaciones legales de su país, las cuales sólo son consideradas, una vez que las organizaciones de estandarización correspondientes adecuan el estándar Inglés a cada País respectivo; este se subdivide en: Cumplimiento de los requisitos legales este considera la identificación de la legislación aplicable a la empresa, definiendo explícitamente y documentando todo lo que guarde relación con estos aspectos que evita el incumplimiento de cualquier ley de obligaciones estatutarias, reglamentarias

o contractuales y de cualquier requisito de seguridad; un control muy importante hace referencia a las regulaciones legales que aplican al uso de controles criptográficos donde tocan aspectos como exportación de claves, requerimientos legales sobre registros almacenados, empleo de claves por parte de los usuarios y administradores de sistemas. Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico en este el personal está involucrado en el cumplimiento de las medidas donde se asegura que los sistemas cumplen con las normas y políticas de seguridad de la organización. Consideraciones de la auditoria de los sistemas de información las auditorias de los sistemas de información deben de realizarse de manera interna y externa (o sea servicios prestados por tercero, que sale más eficaz pero más costosa) donde maximizan la eficacia de los procesos de auditoría de los sistemas de información y minimizar su interferencia.

Glosario

–

Seguridad de la Información (SI): Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad.

–

Confidencialidad: Aseguramiento de que la información es accesible sólo a autorizados.

–

Integridad: Garantía de exactitud y completitud de información y métodos de procesado.

–

Disponibilidad: Aseguramiento de que los autorizados tengan acceso cuando lo necesiten a la información y los activos asociados.

–

ISMS: La parte del Sistema de Gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información

–

Activo o recurso: Algo que tiene valor para la organización.

–

Amenaza o incidente de seguridad: Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales. Vulnerabilidad: Susceptibilidad de algo para absorber negativamente incidencias externas. Eventos de seguridad de la información: situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad identificado en un sistema o servicio de red.

– –

–

Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.

–

Aceptación de riesgo: Decisión de aceptar un riesgo.

–

Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.

–

Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.

–

Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.

–

Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.

–

Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.

Conclusiones – – –

– – – – –

Son 133 controles los que esta norma maneja. La Seguridad de la Información es un proceso. La Seguridad de la Información se basa en personas. La Seguridad de la Información debe orientarse al riesgo. Un buen SGSI es un sistema rentable para la organización. no existe la seguridad absoluta. el ISMS ayuda a la gestión. Hay que definir estrategias de negocio y huir de actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere un equipo de trabajo multiconocimiento.