CERTIFICACIÓN DE BUENAS PRÁCTICAS L A U R A YA N E T H N O G U E R A Q . ING DE SISTEMAS
CERTIFICACION DE BUENAS PRACTICAS ✓ La información es el activo mas importante en la actualidad en cualquier empresa, razón por la cual se ha convertido en una de las razones por las cuales se trabaja activamente por su resguardo, publicación y fiabilidad. ✓ Hablar de información es hablar de confiabilidad, de protección de la misma, integridad y todo lo que tenga que ver con el termino SGSI (Sistema de gestión de la seguridad de la información). ✓ Normas que rigen la seguridad de la información y políticas que hay que tener en cuenta a la hora de salvaguardar y/o compartir información.
CERTIFICACION DE BUENAS PRACTICAS E L U S O DE L AS TI C H A CAM BI ADO L A FO RM A DE RE A LI Z A R LO S NE GO CI O S En tiempos pasados la información era transmitida de forma lineal Emisor-Receptor, o viceversa, con la respuesta, y no había tanta demanda por invadir información de la competencia o mas bien no habían métodos tan claros como los hay ahora que hacen vulnerable la información si no se adopta métodos y/o normas para su protección. Las TIC se han convertido en la herramienta necesaria para la implementación y ejecución de ideas, proyectos, empresas y negocios que una vez mas se comprueba que si se garantiza unos buenos recursos como son la infraestructura, las aplicaciones, las mismas personas que van a utilizar la información, y el tipo de información, la empresa o negocio tendrá una organización y planificación adecuada para el avance, desarrollo y crecimiento en sus negocios.
E N L A AC T UA L I DA D L A IN FOR MAC IÓN E S TA DISPONIBLE, EN C UA L Q U I E R M O M E N TO Y PA R A L O Q U E Q U I E R A APLICARLA.
CERTIFICACION DE BUENAS PRACTICAS Cuando de habla de certificación de buenas practicas en la seguridad de la información debemos tener en cuenta las normas 27000, las cuales para el tema a tratar, nos centraremos en las siguientes: • •
Norma ISO 27001- Sistemas de gestión de la seguridad de la información (SGSI). Norma ISO 27002Buenas practicas para la gestión de la información.
CERTIFICACION DE BUENAS PRACTICAS NORMA ISO 27001- Sistemas de gestión de la seguridad de la información (SGSI). Define: las buenas practicas que se utilizan en seguridad de la información: ✓ Permite evitar las amenazas mediante un enfoque basado en la gestión de riesgo. ✓ Asegurar la información con un enfoque basado en la gestión. ✓ Garantiza la confidencialidad, la integridad, la disponibilidad y la autenticidad de la información que permitan garantizar alcanzar los objetivos de la empresa. Esta norma cumple el papel de formalizar por escrito las pautas y practicas adecuadas para que la organización pueda utilizar de forma segura los elementos de hardware y software, en la línea 9001 permite la elaboración de políticas, procedimientos y manuales técnicos en relación con todos los aspectos de la gestión por procesos incluyendo los recursos humanos, la protección jurídica, la protección física y la gestión de continuidad del negocio relacionadas con la seguridad de la información.
CERTIFICACION DE BUENAS PRACTICAS ¿QUIÉN CERTIFICA A MI EMPRESA EN ISO 27001?
Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una preauditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación.
CERTIFICACION DE BUENAS PRACTICAS NORMA ISO 27002- BUENAS PRACTICAS PARA LA GESTIÓN DE LA INFORMACIÓN. La seguridad de la información es la preocupación y trabajo de las organizaciones actuales, protegerla y garantizar que esta, este disponible para las personas autorizadas es trabajo permanente con el uso de las TIC. Por ellos la implementación de sistemas de información, que permiten la estructuración de la organización y que estos deben estar protegidos contra cualquier amenaza virtual, se ha convertido en una practica del buen manejo de la información y la norma ISO 27002 trabaja todos los aspectos concernientes en las buenas practicas para gestión de la seguridad de la información. Esta define:
✓ El código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones. ✓ Controles en base a una evaluación de riesgos de los activos mas importantes de la empresa.
✓ Establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.
CERTIFICACION DE BUENAS PRACTICAS NORMA ISO 27002- Ventajas • • • • • • •
• •
Mejor concienciación sobre la seguridad de la información. Mayor control de activos e información sensible. Ofrece un enfoque para la implementación de políticas de control Oportunidad de identificar y corregir puntos débiles. Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y procedimientos. Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación. Mejor organización con procesos y mecanismos bien diseñados y gestionados. Promueve reducción de costos con la prevención de incidentes de seguridad de la información. Conformidad con la legislación y otras reglamentaciones.
CERTIFICACION DE BUENAS PRACTICAS NORMA ISO 27002- Items principales ✓ Sección 5: Política de Seguridad de la Información ✓ Sección 6: Organización de la Seguridad de la Información
✓ Sección 7: Gestión de activos ✓ Sección 8: Seguridad en recursos humanos
✓ Sección 9: Seguridad física y del medio ambiente ✓ Sección 10: Seguridad de las operaciones y comunicaciones
✓ Sección 11: Control de acceso ✓ Sección 12:Adquisición, desarrollo y mantenimiento de sistemas
✓ Sección 13: Gestión de incidentes de seguridad de la información ✓ Sección 14: Gestión de continuidad del negocio
✓ Sección 15: Conformidad
REQUISITOS QUE DEBE CUMPLIR UNA EMPRESA PARA CERTIFICARSE EN BUENAS PRÁCTICAS?
R E Q U I S I TO S Q U E D E B E C U M P L I R U N A E M P R E S A PA R A C E RT I F I C A R S E E N BUENAS PRÁCTICAS?
•
El estándar y/o normas ISO 27001 y 27002 se pueden adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros.
•
En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes.
BIBLIOGRAFÍA I S O 2 7 0 0 2 . B U E N A S P R A C T I C A S PA R A L A G E S T I Ó N D E LA SEGURIDAD DE LA INFORMACIÓN. RECUPERADA DE HTTPS://OSTEC.BLOG/ES/GENERICO/ISO-27002BUENAS-PRACTICAS-GSI ISO 2700. ¿CUÁLES SON LAS BUENAS PRÁCTICAS QUE SE UTILIZAN EN SEGURIDAD DE LA INFORMACIÓN. R E C U P E R A D A D E H T T P S : / / W W W. P M G - S S I . C O M / 2 0 1 7 / 1 0 / I S O 27001-BUENAS -PRACTIC AS -SEGURIDAD-INFORMACION/ E L P O R TA L D E I S O 2 7 0 0 1 E N E S PA Ñ O . R E C U P E R A D O D E H T T P : / / W W W. I S O 2 7 0 0 0 . E S / F A Q S . H T M L