Seguridad de la Informacin

NORMA ISO 17799 / ISO 27001

Implementacin Prctica

TRACK I :
APERTURA

Recepcin
Presentacin General
Objetivos
Director
Sugerencias
Participantes
Roadmap

Objetivos
Adquirir conocimientos y metodologas de implementacin
de medidas de seguridad de acuerdo con los requerimientos
de la Norma ISO 17799 / ISO 27001 :
Identificacin de los requerimientos especficos de la
norma ISO 17799 en sus 11 dominios.
Comprender el proceso de adecuar la compaa para
lograr la Certificacin ISO 27001.
Talleres prcticos de implementaciones: soluciones y
problemas ocurridos.
Al final del Entrenamiento se entregar a cada participante un
Manual de Gestin de Seguridad de la Informacin basado en
la Norma ISO 17799 / ISO 27001.

Instructor: Martn Vila

martin.vila@i-sec.org
Business Director I -Sec Information Security (2001 - 2006)
Gerente experimentado de la prctica de Business Risk Management de
Pistrelli, Daz y Asociados, miembro de Arthur Andersen (abril 1992 abril 2001)
Ha liderado numerosos proyectos de Auditora e Implementacin de
Programas de Seguridad Informtica en Entidads de primer nivel en el
mbito local e internacional, basados en distintas Normativas (ISO
17799, BS7799, COBIT, NIST, Sarbanes Oxley).
Ha desarrollado y participado como instructor en Information Security
Courses en USA, Centroamrica y Latinoamrica (Arthur Andersen,
ISACA, Guarded Networks, Ernst & Young, Microsoft, IT College, ISEC,
IDEA, ERC-Computer, ATS, IT Services, Global Solution,
INFOSECURITY, Universidad CAECE).
Ha sido invitado como Especialista en diversos medios de comunicacin
masivo como ser CNN, Diario Clarn, El Cronista Comercial, InfoBAE,
entre otros.

Instructor: Sixto Flores R.

sixto.flores@i-sec.org
Country Manager I -Sec Information Security Ecuador
Gerente IT Services S.A.
Gerente Producto Symantec Nexsys del Ecuador
Gerente Administrativo-Financiero Inacom-Ecuador
Gerente Dinformatica Grupo Diners-Banco Pichincha
Especialista en Direccin Internacional de Empresas (POST GRADO)
Ing. De Empresas
Analista de Sistemas
Tecnlogo Programador

Sugerencias

Identificar objetivos.
Anotar respuestas.
Intercambiar experiencias.
Generar un plan de accin propio.
Participar activamente.
Aclarar las dudas.
Ser positivo y entusiasta.
Comunicar los inconvenientes o disconformidades.

Roadmap
TRACK I : APERTURA
TRACK II : QUE ES SEGURIDAD?
TRACK III : NORMAS APLICABLES
TRACK IV : Cmo se implementa un Programa de Gestin de
Seguridad de la Informacin (ISMS)?
TRACK V : Cmo es un Proceso de Certificacin ISO 27001 de una
Organizacin?
TRACK VI : Principales controles definidos en cada uno de los
Dominios de la ISO17799:2005
TRACK VII : Taller Prctico FINAL: Elaboracin de un Programa
General de Seguridad para preparar a la Compaa para Certificar
TRACK VIII : MODELO ANUAL DE GESTION CONTINUA

TRACK II :
QUE ES SEGURIDAD?

Por que?
Reconocer los riesgos y su impacto en
los negocios

Algunos datos
INTERNET

11:22 | EL GUSANO

Un nuevo virus se
esconde en tarjetas
navideas

Nadie logra controlar la epidemia: el

correo basura invade las casillas de todo
el mundo
Apenas 150 spammers norteamericanos son los responsables del
90 por ciento de los mensajes no deseados que atestan las
computadoras de todo el mundo. Todava no hay leyes para limitar
su impacto econmico.

Un virus informtico, que se esconde en

una tarjeta electrnica de felicitacin,
comenz a circular por la red, inform
Panda Software. La compaa advirti a los
usuarios que extremen las medidas de
seguridad durante estas fiestas.

ESTAFAS EN INTERNET
El phishing ya pesca en todo America
Detectaron casos que afectaron a numerosas empresas y a los clientes
de bancos estadounidenses y del resto de America.

Algunos hechos
12:50 | A TRAVES DE MAIL
Utilizan las siglas del FBI para
propagar un virus
La famosa polica federal
estadounidense advirti sobre
la difusin de falsos correos
electrnicos que llevan su
nombre.

La pregunta secreta
del caso "Paris Hilton"
-----------------------------------------Hace apenas unos das salt la noticia de que
los contenidos del
telfono mvil de Paris Hilton haban sido
publicados en Internet. En
un principio se baraj la posibilidad de que
hubieran accedido a
la tarjeta SIM, o de que se tratara de una
intrusin a los servidores
de T-Mobile aprovechando inyecciones SQL.
Al final parece ser que el
mtodo empleado fue mucho ms sencillo,
bastaba con contestar a la
pregunta "cul es el nombre de su mascota
favorita?".

Algunos hechos
Legales | Infracciones Graves
El delito informtico
En forma amplia, es "toda accin reputada como delito
para cuya consumacin se utilizan o afectan medios
informticos". Vulneran tanto los equipos como los
programas, e incluyen virus, sustraccin de informacin o
piratera.En un terreno ms restringido, son slo aquellas
acciones que vulneran los equipos fijos de computacin.
Libertad, control y responsabilidad en Internet

se condena a los
responsables de un sitio de internet por un mensaje
injurioso annimo ingresado en un libro de visitas, de
Diariojudicial.com publica hoy un polmico fallo por el que

libre acceso por los navegantes. La resolucin preocupa a los sitios web y puede sentar un
duro precedente para aquellos que contengan foros y libros de visitas abiertos al pblico.

Algunos datos
La seguridad de redes, una prioridad para las
empresas
Cisco public los resultados de un estudio de
seguridad realizado a directivos latinoamericanos
de IT. De acuerdo a los resultados, el 79 % de los
Directivos de IT de Latinoamrica opina que la
seguridad de redes es un tema "de extrema
prioridad" o "muy prioritario" para los directivos de
sus compaas.

Algunos datos
NEGOCIOS

Una nueva fiebre enferma a las

empresas de todo el mundo: la
seguridad de la informacin
La gestin de las polticas de seguridad de la
informacin obsesiona a miles de empresas de todo
el mundo. Ahora, ya no se conforman con controlar
los datos circulantes; tambin quieren ahorrar
millones.

Algunas premisas
No existe la verdad absoluta en Seguridad
Informtica.
No es posible eliminar todos los riesgos.
La Direccin est convencida de que la Seguridad
Informtica no hace al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son
mayores.

Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me
sacaron observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya
arreglamos todo.

Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno

Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS

Algunos datos
Segn una encuesta del Departamento de Defensa
de USA:
Sobre aproximadamente
atacados,
7,900 fueron daados.
400 detectaron el ataque.
Slo 19 informaron el ataque.

9000

computadores

Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas

Principales riesgos y su impacto en los

negocios

Principales riesgos

Captura de PC desde el exterior

Mails annimos con informacin crtica o con agresiones

Spamming

Violacin de e-mails

Violacin de contraseas

Virus

Robo de informacin
Destruccin de equipamiento

Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados

Incumplimiento de leyes y regulaciones

Ingeniera social

Fraudes informticos

empleados deshonestos

Programas bomba
Propiedad de la Informacin

Interrupcin de los servicios Destruccin de soportes documentales

Acceso clandestino a redes

Acceso indebido a documentos impresos

Robo o extravo de notebooks

Software ilegal

Indisponibilidad de informacin clave

Intercepcin de comunicaciones
Falsificacin de informacin
para terceros Agujeros de seguridad de redes conectadas

Principales riesgos

Instalaciones default

Escalamiento de privilegios

Password cracking
Puertos vulnerables abiertos
Man in the middle

Exploits

Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados

Desactualizacin

Replay attack

Backups inexistentes
Port scanning

Keylogging

Principales riesgos y el impacto en los negocios

En estos tipos de problemas es difcil:
Darse cuenta que pasan, hasta que pasan.
Poder cuantificarlos econmicamente, por ejemplo
cunto le cuesta a la compaa 4 horas sin sistemas?
Poder vincular directamente sus efectos sobre los
resultados de la compaa.

Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:
sin grandes inversiones en software
sin mucha estructura de personal
Tan solo:
ordenando la Gestin de Seguridad
parametrizando la seguridad propia de los sistemas
utilizando herramientas licenciadas y libres en la web

TRACK III :
NORMAS APLICABLES

Si igual voy a hacer algo, porque no lo

hago teniendo en cuenta las Normas
Internacionales aplicables

Normas y Metodologas aplicables

Information Systems and Audit Control Association - ISACA:

COBIT

British Standards Institute: BS

International Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common

Criteria

ITSEC Information Technology Security Evaluation Criteria:

White Book

Sans Institute, Security Focus, etc

Sarbanes Oxley Act, Basilea II, HIPAA Act, Leyes

NACIONALES

OSSTMM, ISM3, ISO17799:2005, ISO27001

Elegimos la ms aceptada a nivel

mundial
Norma ISO 17799
Gestin de Seguridad

Empresas certificadas en el mundo

2.299 Empresas certificadas en el mundo a mar-2006
1250

1000

750

500

250

0
2002

2003

2004

2005

Japn 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34,
Espaa 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1
www.Xisec.com

Empresas certificadas en el mundo

Iceland, 4
Norw ay, 9

Sw eden, 7

Korea, 30
Finland, 13

UK, 185
Isle of Man, 2

Japan, 480

Denm ark, 2
Netherlands, 18

China, 10
Lithuania, 1

Qatar, 1
Poland, 5
Ireland, 10

Germ any, 36
Belgium , 5
Luxem burg, 1 Austria, 5
Sw itzerland, 5

Czech Republic, 1
Slovakia, 1

UAE, 3
Saudi Arabia, 3

Taiwan, 46
Hong Kong, 17
Macau, 1

India, 81

Hungary, 12

Spain, 3

Malaysia, 2

Macedonia, 1

Singapore, 10

Italy, 23
Greece, 3

Australia, 11

Certification bodies:

LRQA (UK)
SGS (Suiza)
JACO (Japn)

JICQA (Japn)

KPMG (Suiza)

JUSE (Japn)

DNV (Noruega)

STQC (India)
DQS (Alemania)
TV (Alemania)
KEMA (Holanda)
SFS (Finlandia)
BVQI (UK)

JQA (Japn)

PSB (Singapur)
CE (Irlanda)
IMQ (Italia)
SAI (Australia)
CIS (Austria)
BSI-J (Japn)

NQA (UK)

BSI (UK)

Otros

Normas de Gestin ISO

ISO9001 Calidad
ISO14001 Ambiental
ISO17799-1 Seguridad de la Informacin - 1 .
NORMALIZACION (Mejores Prcticas)
ISO 27001 CERTIFICACION de Seguridad de la
Informacin

Norma ISO 17799 Seguridad de la Informacin

Est organizada en captulos en los que se tratan los distintos criterios
a ser tenidos en cuenta en cada tema para llevar adelante una
correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestin de la seguridad de la
informacin
Base comn para el desarrollo de estndares de seguridad

Norma ISO17799 (versin 2005)

1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Administracin de Activos
4. Seguridad de los Recursos Humanos
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
9. Administracin de Incidentes de Seguridad de la Informacin
10. Plan de Continuidad del Negocio
11.Cumplimiento

Qu cambi de la versin anterior

Norma ISO 17799: 2005

NUEVA SECCION
antes 10 ahora 11 Dominios
ADMINISTRACION DE INCIDENTES

Hay dos SECCIONES GENERALES nuevas

3: Estructura del Estandar
Detalle para Asistir al uso y aplicacin ms ameno y fcil del
estndar
4: Risk Assessment & Treatment
Highlights sobre la importancia de efectuar un risk assessment
para definir los CONTROLES APLICABLES
La necesidad de un continuo assesment y administracin de
los RIESGOS
Highlights sobre la importancia de la participacin del
Management en el anlisis de RIESGOS

ISO17799:2000 vs ISO17799:2005
ISO17799:2005

ISO17799:2000
1.

Alcance

1.

Alcance

2.

Trminos y definiciones

2.

Trminos y definiciones

3.

Estructura del Estndar

4.

Evaluacin y Manejo de los Riesgos

3.

Poltica de Seguridad

5.

Poltica de Seguridad

4.

Organizacin de la
Seguridad de la Informacin

6.

Organizacin de la Seguridad de la
Informacin

5.

Clasificacin y Control de
Activos

7.

Administracin de Activos

6.

Seguridad del Personal

8.

Seguridad de los Recursos Humanos

7.

Seguridad Fsca y Ambiental

9.

Physical & Environmental Security

8.

Administracin de las
Comunicaciones y
Operaciones

10.

Administracin de las Comunicaciones y

Operaciones

9.

Administracin de Accesos

11.

Administracin de Accesos

10
.

Desarrollo y Mantenimiento
de Sistemas

12.

Adquisicin , Desarrollo y Mantenimiento de

Sistemas de Informacin

13.

Administracin de Incidentes de Seguridad

de la Informacin

11
.

Administracin de la
Continuidad del Negocio

14.

Administracin de la Continuidad del

Negocio

12
.

Cumplimiento

15.

Cumplimiento

BS7799-2
Fue revisado y se ha convertido en la nueva

ISO 27001
Octubre 15, 2005
De la misma forma se espera que
la ISO 17799 se convierta en ISO 27002

NACE LA FAMILIA DE LAS NORMAS ISO

27000

ISO/IEC 27001 (BS7799-Part 2) - Information Security Management

System. Due for release in November 2005. (Once ISO/IEC 27001
is released, BS7799-2:2002 will be withdrawn)

ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned

Code of Practice replacement for ISO/IEC 17799:2005 scheduled
for April 2007

ISO/IEC 27003 (BS7799-3) Risk Assessment. No announcement

has yet been made regarding ISO/IEC 27003 however, the BSI
expect to release BS7799-3 in November 2005

ISO/IEC 27004 (BS7799-4) Information Security Metrics and

Measurement. No launch date is available, although the BSI will
publish a description in July/August 2005

Norma ISO 17799 Seguridad de la Informacin

Preservar la:
confidencialidad:
accesible slo a aquellas personas autorizadas a tener acceso.
integridad:
exactitud y totalidad de la informacin y los mtodos de
procesamiento.
disponibilidad:
acceso a la informacin y a los recursos relacionados con ella
toda vez que se requiera.

TRACK IV :
Cmo se implementa un
Programa de Gestin de
Seguridad de la Informacin
(ISMS)?

Porqu Implementar un ISMS / SISTEMA DE GESTION

ISO 17799?
Algunas
consideraciones
implementarlo:

generales

de

porqu

Para poder tener una Metodolgica dedicada a la

seguridad de informacin reconocida internacionalmente
Contar con un proceso definido para Evaluar,
Implementar, Mantener y Administrar la seguridad de la
informacin

Diferenciarse en el mercado de otras organizaciones

Satisfacer requerimientos de clientes, proveedores y
Organismos de Contralor
Potenciales disminuciones de costos e inversiones
FORMALIZAR las responsabilidades operativas y
LEGALES de los USUARIOS Internos y Externos de la
Informacin
Cumplir con disposiciones legales (por ej. Leyes de
Proteccin de Datos, Privacidad, etc.)
Tener una Metodologa para poder ADMINISTRAR los
RIESGOS

SGSI SISTEMA DE GESTION DE SEGURIDAD

DE LA INFORMACION
Est basado en el Modelo utilizado por las
NORMAS ISO en general:
Actuar

Planificar

Verificar

Hacer

Factores crticos del xito

poltica de seguridad, objetivos y actividades que
reflejen los objetivos de la empresa;
una estrategia de implementacin de seguridad
que
sea
consecuente
con
la
cultura
organizacional;
apoyo y compromiso manifiestos por parte de la
gerencia;
un claro entendimiento de los requerimientos de
seguridad, la evaluacin de riesgos y la
administracin de los mismos;
comunicacin eficaz de los temas de seguridad a
todos los gerentes y empleados;

Factores crticos del xito

distribucin de guas sobre polticas y estndares
de seguridad de la informacin a todos los
empleados y contratistas;
instruccin y entrenamiento adecuados;
un sistema integral y equilibrado de medicin que
se utilice para evaluar el desempeo de la gestin
de la seguridad de la informacin y para brindar
sugerencias tendientes a mejorarlo.

Principales PASOS a seguir en la IMPLEMENTACION

del SGSI
Implementacin del SGSI en 12 PASOS:
Para un entendimiento PRACTICO del Proceso de
IMPLEMENTACION del SGSI, se definen a continuacin
las principales TAREAS a incluir en el PLAN de ACCION
son:
1)Definir el alcance del SGSI desde el punto de vista de las
caractersticas de la actividad, la organizacin, su
ubicacin, sus activos y su tecnologa
2)Definir una Poltica GENERAL del SGSI

3)Definir una METODOLOGIA para la CLASIFICACION de

los RIESGOS
4)Identificar y Valorar los riesgos
5)Identificar y definir ALTERNATIVAS para el tratamiento de
riesgos:
Aplicar controles
Aceptar los riesgos
Evitar riesgos
Transferir los riesgos asociados de las actividades a otras
partes (ejemplo a Compaas de Seguros)

6)Seleccionar objetivos de control y controles especficos

a IMPLEMENTAR
El detalle de los controles se incluye en la Seccin
Dominios de ISO 17799.
Cualquier EXCLUSION de controles que se considera
como necesaria para satisfacer el criterio de aceptacin de
riesgo, se debe justificar y se debe proporcionar la
evidencia. Cuando se realizan exclusiones, no se podr
alegar conformidad con esta norma a menos que dichas
exclusiones no afecten la capacidad de la organizacin,
y/o su responsabilidad para proveer seguridad de
informacin cumpliendo con los requisitos de seguridad
determinados por la evaluacin de riesgo y los requisitos
regulatorios aplicables.

7)Preparar una DDA Declaracin de Aplicabilidad (qu

CONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobacin de la Direccin de:
DDA Declaracin de Aplicabilidad
Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:
Tratamiento de los riesgos
Controles a Implementar
Programas de entrenamiento y concientizacin de
usuarios
Gestionar el SGSI
Procesos de deteccin y respuesta a los incidentes
de seguridad

10) Implementar los CONTROLES

Controles en los Procesos de Usuarios
Controles Automticos en las Tecnologas
Documentacin de respaldo
Registros de respaldo
11)Realizar Revisiones Peridicas (Auditora Interna y
la Direccin):
controles implementados
nuevos riesgos
riesgos residuales
12)Implementar las mejoras identificadas en el SGSI

Requisitos
FUNDAMENTALES
Documentacin SOPORTE en un SGSI

de

la

Es necesario tambin tener en cuenta que ms all de la

implementacin, es necesario el MANTENIMIENTO
ACTUALIZADO Y PROTEGIDO de la Documentacin de
respaldo del SGSI, para lo cual hay que establecer:
Documentacin mnima de respaldo
Procedimiento de Gestin de dicha documentacin

Documentacin MINIMA del SGSI:

a) Declaraciones documentadas de la poltica de seguridad
y los objetivos de control
b) El alcance, los procedimientos y controles de apoyo
c) El informe de evaluacin de riesgos
d) El plan de tratamiento de riesgo
e) Los procedimientos documentados necesarios para la
planificacin, la operacin y el control del SGSI

f)Los registros requeridos:

Los registros se deben establecer y mantener para
proveer evidencia de conformidad con los requisitos,
deben permanecer legibles, fcilmente identificables y
recuperables. Algunos ejemplos: logs de los sistemas
para auditoras, formularios firmados de accesos, etc.
g) La DDA Declaracin de Aplicabilidad

Procedimiento de GESTION de la Documentacin

Los documentos requeridos deben cumplir
requerimientos FORMALES del ISMS para:

con

los

a) aprobar los documentos previos a su distribucin

b) revisar y actualizar los documentos segn la necesidad y
aprobarlos nuevamente
c) asegurarse de que los cambios y las revisiones de los
documentos estn identificados

d) asegurarse de que las versiones ms recientes de

los documentos pertinentes estn disponibles en
cualquier punto de uso
e) asegurarse de que los documentos se mantengan
legibles y fcilmente identificables
f) asegurarse de que los documentos de origen
externo estn identificados
g) asegurarse de que la distribucin de documentos
este controlada

h) prevenir el uso no intencionado de documentos

obsoletos
i) realizar una adecuada identificacin si se retienen
por cualquier causa
NOTA:
existen
Software
que
mantenimiento de esta Gestin
disponibles en el mercado.

ayudan
al
Documental

Cmo establecer los requerimientos de Seguridad

Evaluar los riesgos:
se identifican las amenazas a los activos,
se evalan vulnerabilidades y probabilidades de ocurrencia, y
se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales
que deben cumplir:
la organizacin,
sus socios comerciales,
los contratistas y los prestadores de servicios.
Conjunto especfico de principios, objetivos y requisitos para el
procesamiento de la informacin, que ha desarrollado la
organizacin para respaldar sus operaciones.

TRACK V :
Cmo es un Proceso de
Certificacin ISO 27001 de una
Organizacin?

QU ES CERTIFICAR?
El proceso de Certificacin es la Generacin de
un INFORME Firmado por parte de un
TERCERO (ajeno a la organizacin) que define
que,
de
acuerdo
con
su
CRITERIO
PROFESIONAL, dicha Organizacin CUMPLE o
NO
CUMPLE
con
los
Requerimientos
establecidos en la Normativa.

PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la Organizacin tiene un
adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA
INFORMACIN.
Una empresa CERTIFICADA no implica que NO TIENE MAS
RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que
tienen un adecuado Sistema de Gestin de dichos Riesgos y
Proceso de MEJORA CONTINUA.

QUE
ORGANIZACIONES
CERTIFICAR?

PUEDEN

Cualquier Organizacin, grande o pequea, pblica

o privada, de Gobierno o sin fines de lucro, etc, est
en condiciones y habilitada para CERTIFICARSE.

QUIENES ESTAN AUTORIZADOS A EFECTUAR

LA CERTIFICACION?
Cualquier Agente ajeno a la Organizacin (Profesional
Independiente o Compaa) puede Firmar el Informe antes
mencionado.
Pero dado que la Certificacin adems de un valor Interno de
Asegurarse de Cumplir con la Normativa, tiene un fin principal
de poder Mostrar dicha Certificacin al Mercado Externo,
generalmente se recurre a Organizaciones que estn
Tcnicamente
Aceptadas
y
adems
reconocidas
INTERNACIONALMENTE para efectuar dicho trabajo. Por ello
se recurre a Organizaciones que estn ACREDITADAS (este es
el trmino tcnico utilizado) en el Organismo Internacional de
Acreditacin. Ejemplo de este tipo de Organizaciones son el
Bureau Veritas BVQI, Det Norske Veritas DNV, TV, etc.

LA CERTIFICACION ES SEGN ISO 17799 O

SEGN ISO27001?
Las Organizaciones implementan de acuerdo a
ISO17799-1 pero las Empresas Certificadoras utilizan
el ISO27001 (antes BS7799-2) para hacer los Informes
de Certificacin.

COMO ES EL PROCESO DE CERTIFICACION?

El requerimiento previo es que la Organizacin
cumpla con la Implementacin del SGSI definido en
la Seccin anterior.
Luego se convoca al Tercero para efectuar la
CERTIFICACION.

Los principales PASOS son:

Preparar la Documentacin Soporte a Presentar
Efectuar la PREAUDITORIA para conocer el GAP Analisis respecto al
Estndar
Identificar conjuntamente:
las NO CONFORMIDADES (incumplimientos de
acuerdo al Estndar)
las NO CONFORMIDADES que son ACEPTADAS
(slo se documentan los argumentos de justificacin)
las NO CONFORMIDADES que NO son
ACEPTADAS (se definen las MEJORAS a
implementar)

Implementar las MEJORAS y Generar los Soportes

Documentales correspondientes
Efectuar la AUDITORIA DE CERTIFICACION y
Generacin del Informe Final de Certificacin
incluyendo las NO CONFORMIDADES (aceptadas o
NO y sus Riesgos Residuales aceptados por la
Direccin de la Organizacin)

Gestionar los respaldos para la Acreditacin

Internacional de la Certificacin lograda
Auditoras peridicas de la Empresa Certificadora
para validar el continuo cumplimiento de los
Requerimientos de la Normativa

PUEDE UNA ORGANIZACION

CERTIFICACION?

PERDER

LA

Si una Organizacin no cumple con los

requerimientos, puede ocurrir que en la Auditora
Peridica la Empresa Certificadora solicite que se
saque la Certificacin Obtenida inicialmente.

TRACK VI :
Principales controles definidos
en cada uno de los Dominios de
la ISO17799:2005

Dominios de Norma ISO 17799

Dominio 1 - Poltica de Seguridad

Dominio 1: POLTICA DE SEGURIDAD

Autorizacin
Proteccin Fsica

Confiabilidad
Confidencialidad

Propiedad

Poltica de
Seguridad

Disponibilidad

Legalidad
Eficiencia
Integridad

Eficacia
Exactitud

Dominio 1: POLTICA DE SEGURIDAD

Manual de Gestin de Seguridad

Poltica General
Normas
Procedimientos

Estndares tcnicos

Dominio 2
Organizacin de la Seguridad

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Principales roles y funciones
Sponsoreo y seguimiento
Direccin de la Compaa
Foro / Comit de Seguridad
Autorizacin
Dueo de datos
Definicin
rea de Seguridad Informtica
rea de Legales

Administracin
Administrador de Seguridad
Cumplimiento directo
Usuarios finales
Terceros y personal contratado
rea de sistemas
Control
Auditora Interna
Auditora Externa

Dominio 3
Administracin de Activos

Dominio 3: Administracin de Activos

1. Identificacin de la informacin ms crtica

Identificar informacin: cul es la ms crtica
Identificacin de los sistemas / equipos / documentos
donde se conserva la informacin

Dominio 3: Administracin de Activos

2. Identificacin de los principales riesgos

Para facilitar la identificacin de los riesgos ms crticos se pueden utilizar
las siguientes categoras:
Fraudes informticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusin inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destruccin de informacin y equipos

Dominio 3: Administracin de Activos

Segn su origen se pueden agrupar en:
Naturales
Intencionales
No intencionales
Estos riesgos pueden ser clasificados en los siguientes tipos:
Difusin indebida
Alteracin no autorizada
Falta de disponibilidad

Dominio 3: Administracin de Activos

Se debe definir quines son los principales agentes de riesgo para la
informacin de cada Dueo de Datos:
Espas comerciales / Competidores
Empleados deshonestos
Delincuentes profesionales
Terroristas informticos
Ex-empleados disconformes
Hackers, Crackers y similares
Proveedores
Clientes
Operadores Burstiles
Compaas asociadas

Dominio 3: Administracin de Activos

3. Clasificacin de la informacin teniendo en cuenta

los riesgos identificados
1.

Anlisis de los principales riesgos a la que est expuesta.

2.

Categorizacin en Confidencial, Restringida o Pblica.

3.

Identificacin para determinar si se encuentra en medios

electrnicos y/o en medios fsicos.

4.

Aprobacin de los sectores / usuarios que deben acceder a la

informacin crtica con permisos

5.

Consolidacin.

Dominio 4
Seguridad de los Recursos Humanos

Dominio 4: Seguridad de los Recursos Humanos

4.1 Seguridad en la definicin de puestos de trabajo y la
asignacin de recursos
Objetivo:
Reducir los riesgos de error humano, robo, fraude o uso
inadecuado de instalaciones.
Las responsabilidades en materia de seguridad deben ser:
expliicadas en la etapa de reclutamiento,
incluidas en los contratos y
monitoreadas durante el desempeo como empleado.

Dominio 4: Seguridad de los Recursos Humanos

Acuerdos de confidencialidad
Los empleados deben firmar habitualmente un acuerdo de
esta ndole como parte de sus trminos y condiciones
iniciales de empleo.
El personal ocasional y los usuarios externos an no
contemplados en un contrato formalizado (que contenga el
acuerdo de confidencialidad) debern firmar el acuerdo
mencionado antes de que se les otorgue acceso a las
instalaciones de procesamiento de informacin.
Los acuerdos de confidencialidad deben ser revisados
cuando se identifican cambios en los trminos y
condiciones de empleo o del contrato.

Dominio 4: Seguridad de los Recursos Humanos

4.2 Capacitacin del usuario
Objetivo:
Garantizar que los usuarios estn al corriente de las
amenazas e incumbencias en materia de seguridad de la
informacin, y estn capacitados para respaldar la poltica
de seguridad de la organizacin en el transcurso de sus
tareas normales.

Dominio 4: Seguridad de los Recursos Humanos

Algunas consideraciones a tener en cuenta en el proceso
de concientizacin
Involucrar a TODO el personal de la Compaa.
Sponsorearlo por la Direccin.
Asegurar su permanencia a lo largo del tiempo.
"Agregar valor a los usuarios.
Definir mecanismos de control de la participacin de todo el
personal.
Implementar sanciones disciplinarias para los que no
participen.
Definir medidas en caso que algn miembro del personal
deje la Compaa.

Dominio 4: Seguridad de los Recursos Humanos

Estrategias de Concientizacin
Usuarios finales
Terceros
Personal del Area de Sistemas

Dominio 4: Seguridad de los Recursos Humanos

Usuarios Finales
Actividades
En persona
Por escrito
En los sistemas

Dominio 4: Seguridad de los Recursos Humanos

En persona

Presentaciones grficas al personal de cada sector.

Induccin a recursos nuevos.
Videoconferencias a usuarios.
Trabajos en grupos para anlisis de casos prcticos.
Reuniones con el personal clave de cada grupo humano.
Inventarios de software en las estaciones de trabajo.

Dominio 4: Seguridad de los Recursos Humanos

Por escrito
Incorporacin de conceptos de seguridad en evaluaciones
anuales de performance.
Compromisos firmados por el personal actual y nuevo,
adjuntar en sus respectivos legajos (carpetas).
Firma anual de actualizacin de la conformidad.
Distribucin de material grfico al personal.
Mensajes en cartelera.

Dominio 4: Seguridad de los Recursos Humanos

En los sistemas

Pantalla de inicio en los sistemas.

Correos electrnicos peridicos.
Entrenamiento interactivo.
Intranet de seguridad informtica.
Concursos con temarios relacionados y premios atractivos.

Dominio 4: Seguridad de los Recursos Humanos

Personal de Sistemas
Seleccionar los temas y procedimientos ms crticos
Identificar dentro de las normas de Seguridad desarrolladas,
cules son:
Los temas ms sensibles a la operatoria de la compaa.
Los procedimientos que requieran un mayor conocimiento
de la gente.
Definir capacitacin segn perfil de cada sector:
Operaciones
Analistas
Programadores
Desarrollo
Tecnologa
Responsables de rea

Dominio 4: Seguridad de los Recursos Humanos

Terceros: identificar los distintos tipos
De contacto directo
Clientes
Proveedores
Auditores externos
Compaas asociadas
De contacto institucional
Cmaras empresariales
Organismos de contralor
Gobierno
Accionistas
Comunidad en general

Dominio 4: Seguridad de los Recursos Humanos

4.3 Proceso disciplinario
Debe existir un proceso disciplinario formal para los
empleados que violen las polticas y procedimientos de
seguridad de la organizacin.

Dominio 5
Seguridad Fsica y Ambiental

Dominio 5: SEGURIDAD FISICA Y AMBIENTAL

Proteccin de:
Sedes
Instalaciones
Documentos Impresos

Dominio 6
Gestin de Operaciones y
Comunicaciones

Dominio
6:
GESTION
COMUNICACIONES

DE

OPERACIONES

6.1 Procedimientos y responsabilidades operativas

Objetivo:
Garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin.
Se deben establecer las responsabilidades y
procedimientos para la gestin y operacin de todas
las instalaciones de procesamiento de informacin.
Se debe implementar la separacin de funciones
cuando corresponda.

Dominio 7
Sistema de Control de Accesos

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

7.1 Requerimientos de negocio para el control de accesos
Objetivo:
Controlar el acceso de informacin.

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Poltica de control de accesos
Requerimientos de polticas y de negocios
Las reglas y derechos del control de accesos, para cada
usuario o grupo de usuarios, deben ser claramente
establecidos en una declaracin de poltica de accesos:
requerimientos de seguridad de cada una de las
aplicaciones comerciales;
identificacin de toda informacin relacionada con las
aplicaciones comerciales;
polticas de divulgacin y autorizacin de
informacin;

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

coherencia entre las polticas de control de acceso y de
clasificacin de informacin de los diferentes sistemas
y redes;
legislacin aplicable y obligaciones contractuales con
respecto a la proteccin del acceso a datos y servicios;
perfiles de acceso de usuarios estndar, comunes a
cada categora de puestos de trabajo ;
administracin de derechos de acceso.

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Reglas de control de accesos
diferenciar entre reglas que siempre deben imponerse
y reglas optativas o condicionales;
establecer reglas sobre la base de la premisa debe
estar prohibido a menos que se permita
expresamente;
reglas que requieren aprobacin antes de entrar en
vigencia.

Dominio 8
Adquisicin, Desarrollo y
Mantenimiento de Sistemas de
Informacin

Dominio 8: Adquisicin, Desarrollo y Mantenimiento de

Sistemas de Informacin
8.1 Requerimientos de seguridad de los sistemas.
Objetivo:
Asegurar que la seguridad es incorporada a los sistemas
de informacin.
Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo de los
sistemas de informacin.

Dominio 8: Adquisicin, Desarrollo y Mantenimiento de

Sistemas de Informacin
Anlisis y especificaciones de los requerimientos de
seguridad
Se deben considerar los controles automticos a incorporar
al sistema y la necesidad de controles manuales de apoyo.
Los controles introducidos en la etapa de diseo son
significativamente ms baratos de implementar y
mantener que aquellos incluidos durante o despus de la
implementacin.

Dominio 9
Administracin de Incidentes de
Seguridad de la Informacin

Dominio 9: Administracin de Incidentes de Seguridad de la

Informacin

Respuesta a incidentes y anomalas en materia de

seguridad
Objetivo:
Minimizar el dao producido por incidentes y
anomalas en materia de seguridad, y monitorear
dichos incidentes y aprender de los mismos.

Dominio 9: Administracin de Incidentes de Seguridad de la

Informacin

Los incidentes que afectan la seguridad deben ser

comunicados mediante canales gerenciales.

Se debe concientizar a todos los empleados y

contratistas acerca de los procedimientos de
comunicacin de los diferentes tipos de incidentes.

La organizacin debe establecer un proceso

disciplinario formal para ocuparse de los
empleados que perpetren violaciones de la
seguridad.

Dominio 9: Administracin de Incidentes de Seguridad de la

Informacin

Comunicacin de incidentes relativos a la seguridad

Se debe establecer un procedimiento formal de:
comunicacin,
respuesta a incidentes,
"feedback" a la persona luego de resueltos.
Estos incidentes pueden ser utilizados durante la
capacitacin a fin de crear conciencia de seguridad en
el usuario.

Dominio 10
Plan de Continuidad del Negocio

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Principales etapas

Clasificacin de los distintos escenarios de desastres

Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
Implementacin de la estrategia
Documentacin del plan de recupero
Testeo y mantenimiento del plan

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Clasificacin de los distintos escenarios de desastres
Identificar los distintos tipos de desastres
Ponderar su ocurrencia
Fijar el alcance del proyecto a los desastres de mayor
probabilidad

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Evaluacin de impacto en el negocio
Definir los perjuicios claves en la evaluacin del
impacto en el negocio.
Identificar los usuarios claves de cada sector.
Relevar las funciones crticas del negocio.
Definir un tiempo mximo para disponer de la
informacin sin que impacte en el negocio.
Efectuar estimaciones econmicas del perjuicio para la
compaa.
Definir las funciones crticas que se identifican para la
recuperacin.

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Seleccin de una estrategia de recupero
Analizar impacto de desastres seleccionados y
funciones crticas identificadas en los equipos de
procesamiento.
Definir alternativas de recupero del procesamiento.
Analizar los costos actuales y futuros de las soluciones
Elegir la/las soluciones a implementar

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Implementacin de la estrategia
Desarrollar las medidas a implementar en cada una de
las etapas:
Identificacin del desastre.
Declaracin del desastre.
Actividades a desarrollar durante el desastre.
Recuperacin del procesamiento para volver a la
situacin normal.
Suscribir los contratos comerciales necesarios para la
ejecucin de los procedimientos seleccionados.
Suscribir los contratos de seguros en caso de ser
definido.

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Implementar los mecanismos tecnolgicos necesarios.
Asignar las responsabilidades a cada una de las
personas / sectores de la Compaa involucradas en el
Plan.
Capacitar al personal involucrado.
Definir acciones complementarias:
Comunicacin a clientes y proveedores.
Distribucin fsica de lugares de trabajo del
personal.
Estrategias de trabajo en cada casa.
Otros recursos (telfonos, fax, etc).
Aspecto humano del plan.

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Documentacin del plan de recupero
Desarrollar los procedimientos tcnicos y funcionales.
Desarrollar los inventarios de personal, hardware,
software, etc.

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Testeo y mantenimiento del plan
Testeo
o Desarrollar pruebas
o Asemejar pruebas a la realidad.
Mantenimiento
o Definir mecanismo para su actualizacin.
o Efectuar pruebas peridicas del correcto
funcionamiento

Dominio 11
Cumplimiento

Dominio 11: Cumplimiento

11.1 Cumplimiento de requisitos legales
Objetivo:
Impedir infracciones y violaciones de las leyes del derecho
civil y penal; de las obligaciones establecidas por leyes,
estatutos, normas, reglamentos o contratos; y de los
requisitos de seguridad.

Dominio 11: Cumplimiento

El diseo, operacin, uso y administracin de los
sistemas de informacin pueden estar sujetos a
requisitos de seguridad legal, normativa y contractual.
Se debe procurar asesoramiento sobre requisitos
legales especficos por parte de los asesores jurdicos
de la organizacin, o de abogados convenientemente
calificados.
Los requisitos legales varan segn el pas y en relacin
con la informacin que se genera en un pas y se transmite
a otro.

Dominio 11: Cumplimiento

Identificacin de la legislacin aplicable
Se deben definir y documentar claramente todos los
requisitos legales, normativos y contractuales pertinentes
para cada sistema de informacin.

Dominio 11: Cumplimiento

11.2 Revisiones de la poltica de seguridad y la
compatibilidad tcnica
Objetivo:
Garantizar la compatibilidad de los sistemas con las
polticas y estndares (normas) de seguridad de la
organizacin.

Dominio 11: Cumplimiento

La seguridad de los sistemas de informacin debe
revisarse peridicamente.
Dichas revisiones deben llevarse a cabo con referencia
a las polticas de seguridad pertinentes y las
plataformas tcnicas y sistemas de informacin deben
ser auditados para verificar su compatibilidad con los
estndares (normas) de implementacin de seguridad.

Dominio 11: Cumplimiento

11.3 Consideraciones de auditoria de sistemas
Objetivo:
Optimizar la eficacia del proceso de auditoria de sistemas
y minimizar los problemas que pudiera ocasionar el
mismo, o los obstculos que pudieran afectarlo.
Deben existir controles que protejan los sistemas de
operaciones y las herramientas de auditoria en el
transcurso de las auditorias de sistemas.
Asimismo, se requiere una proteccin adecuada para
salvaguardar la integridad y evitar el uso inadecuado de
las herramientas de auditoria.

TRACK VII :
Taller Prctico FINAL
Elaboracin de un Programa
General de Seguridad para
preparar a la Compaa para
Certificar

Implementacin
Seguridad

de

un

Programa

de

Identificacin de los principales riesgos

informticos para su compaa

Definicin por la Direccin de una poltica

bsica de seguridad

Accin concreta en dos frentes:

Normativo

Ejecutivo

R Identificacin de riesgos en su compaa

Clasificacin de los ms crticos
Fraudes informticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusin inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destruccin de informacin y equipos

R Identificacin de riesgos en su compaa

Personas y Organizaciones
dentro y/o fuera
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores in company
Compaas asociadas

R Identificacin de riesgos en su compaa

Donde hay informacin sensible
en los sistemas centrales
en las PCs
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal

P Definicin de una poltica bsica de

seguridad
Breve
Clara
Implementable
Puesta en marcha por la Direccin
Difundida al personal y terceros

P Definicin de una poltica bsica de

seguridad
Autorizacin
Proteccin Fsica

Confiabilidad
Confidencialidad

Propiedad

Poltica de
Seguridad

Disponibilidad

Legalidad
Eficiencia
Integridad

Eficacia
Exactitud

Accin concreta: Plano Normativo

Identificacin de responsabilidades
de seguridad

Sponsoreo y seguimiento

Cumplimiento directo

Direccin de la Compaa

Usuarios finales

Comit de Seguridad

Terceros y personal contratado

Autorizacin

Area de sistemas

Dueos de datos

Administracin

Definicin

Administrador de Seguridad

Area de Seguridad Informtica Control

Area de Legales

Auditora Interna / Externa

Accin concreta: Plano Normativo

Desarrollo de la normativa bsica y
publicacin
Normas con definiciones
Procedimientos con accin de usuarios
Estndares tcnicos para los sistemas
Esquema de reportes de auditora

De acuerdo con regulaciones y legislaciones vigentes

Accin concreta: Plano Normativo

Definicin de un sistema de premios y
castigos en su compaa

Definicin de acciones a sancionar y medidas disciplinarias a imponer

Comunicacin al personal y terceros in company
Utilizacin de convenios de confidencialidad

Accin concreta: Plano Ejecutivo

Definicin e implementacin de la funcin de

Seguridad Informtica
Perfil de la funcin
Anlisis de riesgos informticos
Participacin en proyectos especiales
Administracin del da a da
Objetivos y tareas bsicas
Programas de trabajo rutinarios
Automatizacin de tareas y reportes en los sistemas

Accin concreta: Plano Ejecutivo

Mejoras en los procesos del rea de Sistemas

Administracin de Usuarios y Permisos en los Sistemas
Separacin de Ambientes de Trabajo
Licencias legales de Software
Copias de Respaldo
Seguridad Fsica de las Instalaciones y Recursos
Prevencin de Virus y Programas Maliciosos
Seguridad en las Comunicaciones
Auditora Automtica y Administracin de Incidentes de Seguridad
Uso del Correo Electrnico
Uso de Servicios de Internet

Accin concreta: Plano Ejecutivo

Parametrizacin de las redes y los
sistemas de una forma ms segura
Redes internas
Accesos externos
Bases de datos
Sistemas aplicativos
Correo electrnico
Servidores, PCs y laptops
Seguridad fsica
Integracin con otras tecnologas
Anlisis de la posibilidad de uso de softwares de seguridad avanzada
(encripcin, administracin centralizada, monitoreo automtico)

Accin concreta: Plano Ejecutivo

Implementacin de monitoreos de
incidentes de seguridad
Acciones preventivas de monitoreo las 24 hs
Implementacin de Help Desk de Seguridad
Circuitos de reportes de incidencias
Monitoreos peridicos
Auditoras

Accin concreta: Plano Ejecutivo

Capacitacin a los usuarios en seguridad
Usuarios finales
Usuarios del rea de sistemas
Terceros in company
Utilizando la tecnologa y los medios disponibles
Intranet de seguridad

Presentaciones grupales

Correo electrnico

Videos institucionales

Mensajes en cartelera

Firma de compromisos

TRACK VIII :
MODELO ANUAL DE
GESTION CONTINUA

Implemente Ud. Mismo el ISMS ISO 17799

Diagnstico Inicial:
Efectuar Diagnstico Inicial de la
situacin de la Compaa en relacin
a los requerimientos de la ISO 17799.
2 a 3 semanas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulos:
Se agrupan por Mdulos cada conjunto de
tareas, debiendo identificarse la duracin
de cada uno de ellos, en general, podr
variar entre 2 a 4 semanas c/u
dependiendo del Diagnstico y del grado
de involucramiento del personal.

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 1:
Relevar los planes de seguridad funcionales
y tcnicos en proceso en la compaa
Iniciar proceso de Identificacin de Riesgos y
Clasificacin de Informacin Sensible
Definir el Plan de Tareas para los 2 primeros
aos (integrando otros proyectos de
seguridad en curso)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 2:
Definir, aprobar y difundir la Poltica de Seguridad
de la Compaa
Definir la estructura y alcance del Manual de
Seguridad de la Informacin de la Compaa
Definir y difundir las responsabilidades de
Seguridad de la Informacin de cada sector de la
Compaa
Implementar Esquema de Propietarios de Datos

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 3:
Definir e iniciar el proceso de
Concientizacin de Usuarios
internos y Terceros
Iniciar proceso de redaccin de las
Normas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 4:
Finalizar Clasificacin de Informacin
Relevar medidas implementadas en
las funciones del rea de sistemas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 5:
Finalizar la Redaccin y Difundir las
Normas de Seguridad
Implementar las definiciones de las
Normas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 6:
Implementar las mejoras de seguridad
en las Funciones y Roles del rea de
Sistemas
Implementar mejoras en los sectores
usuarios para informacin impresa

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 7:
Iniciar proceso de redaccin de
Procedimientos crticos
Iniciar Programa de Continuidad del Negocio
/ Procesamiento Crtico de la Informacin

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 8:
Finalizar la redaccin y difundir los
Procedimientos crticos
Relevamiento general del cumplimiento del
Marco Legal y Regulatorio (leyes vigentes,
etc)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 9:
Implementar los Procedimientos de
Seguridad Crticos
Relevar e Integrar los Estndares
Tcnicos de Seguridad desarrollados
dentro del Manual de Seguridad

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 10:
Definir junto a RRHH mecanismos de
Control y Sanciones
Efectuar la Concientizacin de
Usuarios de toda la Compaa

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 11:
Diagnstico General respecto Norma
ISO 17799 (similar a una Preauditora
de Certificacin ISO)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 12:
Implementacin de las mejoras
identificadas en el Diagnstico segn
ISO 17799

 Muchas Gracias !!!

Sixto Flores R.
sixto.flores@i-sec.org