Norma ISO 27000

Justificación e Importancia
Encontrar las posibles debilidades de los mecanismos

de seguridad
Datos críticos (Confidencialidad, Integridad y

Disponibilidad)
Recomendaciones de las buenas prácticas de la ISO

27000
Objetivos
Objetivo General: Evaluar la seguridad

informática, acorde a una metodología y tomando
como referencia las buenas prácticas de las
normas internacionales ISO 27000
Objetivos
Objetivos Específicos:
 Analizar la situación actual del Data Center

 Determinar las posibles vulnerabilidades del Data
Center
 Evaluar en base a las buenas prácticas de las normas
internacionales ISO 27000, verificando la
confidencialidad, disponibilidad e integridad de los
datos
 Proponer una mejora para las políticas de seguridad
 Elaborar el informe final en donde se plasmará todas
las observaciones con los hallazgos obtenidos
Alcance
• Propuesta de mejora a las políticas de seguridad

• Determinación de vulnerabilidades
• Análisis de riesgos
• Cumplimiento regulatorio
Fundamentación Teórica
Delitos informáticos
Seguridad de la Información
Serie 27000
ISO 27001
Metodología
Planificación
Comunicación Análisis de
con el cliente riesgos
Evaluación del Ingeniería

cliente
Construcción y
Adaptación
Metodología
METODOLOGÍA EN
BUENAS PRÁCTICAS DE LAS NORMAS INTERNACIONALES ISO 27000
ESPIRAL DE 6 REGIONES MODELO
ACTIVIDADES PDCA ENTREGABLES
Comunicación con el
Inventariar los activos Inventario de activos
cliente Crear un
Planificación Definir el alcance Sistema de Alcance de la evaluación del proyecto
Analizar y evaluar los riesgos Plan Gestión de la Análisis de riesgos
Identificar amenzas y Información
Analizar los riesgos Lista de amenazas y vulnerabilidades
vulnerabilidades (SGSI)
Identificar impactos Identificación de impactos
Definir de políticas de seguridad Definición de políticas
Definir medidas de tratamiento de
Implementar y Definición de tratamiento de riesgos
Ingeniería riesgos Do
operar
Asignar recursos Asignación de recursos
Tratamiento de riesgos Analizar el tratamiento de riesgos
Medir eficacia de los controles Identificación de controles
Analizar las tendencias Análisis de tendencias
Construcción y Supervisar y
Evaluar Check Evaluación y entrega de informe
Adaptación revisar el SGSI
Revisar los resultados por parte Revisión por parte de los encargados de la
de la Dirección DIRSICOM
Conocer las no conformidades
Mantener y Recomendar acciones correctivas y
Evaluación del Cliente Indicar acciones correctivas y Act
mejorar el SGSI preventivas
preventivas
Evaluación del Data Center
Análisis de Resultados
Análisis de Riesgo promedio actual

Probabilidad de Amenaza
Criminalidad y Sucesos de Negligencia

Político origen físico Institucional
Datos e 6,0 5,7 10,3

Información
Magnitud Sistemas e 3,5 3,3 6,0

de Daño Infraestructura
Personal 2,7 2,5 4,6

Análisis de Factores de Riesgo
Sucesos de origen físico
Negligencia Institucional
Datos
Sistemas
Personal
Criminalidad Común
Alto Riesgo
Riesgo Miedo
Riesgo Bajo
FASE 3: CHEQUEAR
Medición de eficacia de controles
Nivel de
Controles
Cumplimiento
Procedimientos formales de planeación. Medio
Uso de estándares de programación, identificación, codificación. Bajo
Uso de mecanismos de autenticación. Bajo
Procedimientos documentados, divulgados y aplicados. Bajo
Uso de metodologías de desarrollo de software. Medio
Uso metodologías de definición de requerimientos. Medio
Procedimientos para el control de cambios. Bajo
Acuerdos explícitos de niveles de servicio (ANS). Bajo
Mecanismos de encriptación Bajo
Redundancia en dispositivos y recursos críticos. Medio
Clasificación de la información Medio
Sensores y alarmas de factores ambientales (humo, humedad, temperatura) Medio
Toma física de inventarios de recursos computacionales Medio
Verificadores de licencias Medio

Análisis de Tendencias
Ciberamenazas y ataques dirigidos
Móviles, tablets, dispositivos personales

FASE 4: ACTUAR
Acciones correctivas y preventivas
Capa de aplicación
Capa de presentación
Capa de sesión
Capa de transporte
Capa de red
Capa de vínculo de datos
Capa física

Norma ISO 27000

Cargado por

Copyright:

Formatos disponibles

Norma ISO 27000

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma ISO 27000

Cargado por

Copyright:

Formatos disponibles

Justificación e Importancia

Encontrar las posibles debilidades de los mecanismos

Datos críticos (Confidencialidad, Integridad y

Recomendaciones de las buenas prácticas de la ISO

Objetivo General: Evaluar la seguridad

 Analizar la situación actual del Data Center

• Propuesta de mejora a las políticas de seguridad

Evaluación del Ingeniería

Análisis de Riesgo promedio actual

Criminalidad y Sucesos de Negligencia

Datos e 6,0 5,7 10,3

Magnitud Sistemas e 3,5 3,3 6,0

Personal 2,7 2,5 4,6

Procedimientos formales de planeación. Medio

Uso de estándares de programación, identificación, codificación. Bajo

Uso de mecanismos de autenticación. Bajo

Procedimientos documentados, divulgados y aplicados. Bajo

Uso de metodologías de desarrollo de software. Medio

Uso metodologías de definición de requerimientos. Medio

Procedimientos para el control de cambios. Bajo

Acuerdos explícitos de niveles de servicio (ANS). Bajo

Mecanismos de encriptación Bajo

Redundancia en dispositivos y recursos críticos. Medio

Clasificación de la información Medio

Sensores y alarmas de factores ambientales (humo, humedad, temperatura) Medio

Toma física de inventarios de recursos computacionales Medio

Verificadores de licencias Medio

Ciberamenazas y ataques dirigidos

Móviles, tablets, dispositivos personales

Capa de vínculo de datos

También podría gustarte