Sistemas de Gestión de Seguridad de la Información.

La seguridad no es un producto, es un proceso.

www.securia.es
www.ceeisec.com
Desarrollador:

Fundación CEEI de Albacete

Parque Empresarial Campollano

Avda, 4ª, nº 3, 02007 Albacete

Telf: + 34 967 616 000

Fax: + 34 967 616 030

 SECURIASGSI
Índice

• ¿Qué es la Información?
• ¿Por qué es necesaria la seguridad de la información?
• ¿Cómo establecer los requisitos de seguridad?
• Securia SGSI
• Módulos Funcionales Securia SGSI
• Plataforma de Desarrollo
• Licencia de Distribución
• Requisitos Mínimos del Sistema
¿QUÉ ES LA INFORMACIÓN?

La información es un Como resultado de esta

activo que, como todo creciente interconectividad,
activo importante de la información está en la
negocio, tiene valor para actualidad expuesta a un
la organización y por creciente número y a una
consiguiente debe ser gran variedad de amenazas
protegido adecuadamente. y vulnerabilidades.

Esto se hace especialmente

importante en un entono
actual de creciente
interconectividad
de los negocios.

3
¿POR QUÉ ES NECESARIA LA
SEGURIDAD DE LA INFORMACIÓN?

La información y los sistemas de información

procesos, sistemas y y redes se enfrentan,
redes que la soportan, con amenazas de
son importantes seguridad procedentes
activos de negocio. La de una amplia variedad
definición, consecución, de fuentes, incluyendo
mantenimiento, y fraudes basados en
mejora de la seguridad informática, espionaje,
de la información sabotaje, vandalismo,
pueden ser esenciales incendios o inundaciones.
para mantener su Las causas de daños
competitividad, como ataques por código
r e n t a b i l i d a d , malicioso, de intrusión y
cumplimiento con de denegación de servicios
la legislación e se están volviendo
imagen comercial. cada vez más comunes,
Las organizaciones y sus ambiciosos y sofisticados.

4
ISO 27001

Esta norma proporciona la capacidad para determinar

y analizar los procesos críticos del negocio,
valorando los activos de información en función del
impacto que supondría el daño a la confidencialidad,
integridad o disponibilidad principalmente.

Define un marco para el establecimiento de objetivos de

seguridad y establece las directrices y principios de acción
en lo referente a seguridad de la información. Tiene en
cuenta requerimientos legales, de negocio y contractuales.
Se alinea el contexto estratégico de gestión del riesgo
de la organización en el que se desarrolla el SGSI.

5
SECURIA SGSI

Securia SGSI es una herramienta integral que cubre

el proceso automático de implantación, puesta en
funcionamiento, mantenimiento y mejora continua de
un Sistema de Gestión de Seguridad de la Información
(SGSI) según la norma internacional ISO 27001.

Sistemas de Gestión de Seguridad

de la Información.

APLICACIÓN SECURIASGSI

Un SGSI proporciona a la organización una herramienta que

le ayuda a conocer los riesgos a los que está sometida su
infoprmación y los asume, minimiza, transfiere o controla
mediante una sistemática definida, documentada y conocida
por todos, que se revisa y actualiza constatemente.

6
MÓDULOS FUNCIONALES DE SECURIA
SGSI

El sistema está organizado en diferentes módulos, cada uno

de éstos aporta al programa una funcionalidad independiente.
Y entre todos, cubren las áreas básicas necesarias en un
sistema de gestión de seguridad de la información (SGSI).

Fig.1 Gestión desde el Programa Cliente

• Módulo de Gestión de Incidencias y No Conformidades.

• Módulo de Mejora Continua.
• Módulo de Gestión Documental.
• Módulo de Análisis y Gestión de Riesgos.

7
GESTOR DE INCIDENCIAS Y NO
CONFORMIDADES

Mediante la gestión de las incidencias, la entidad se asegura

de que los eventos y los puntos débiles de la seguridad de
la información, asociados con los sistemas de información,
se comunican de forma que sea posible emprender su
resolución mediante la aplicación de acciones correctivas.

La entidad debe realizar acciones para eliminar la

causa de las no conformidades detectadas en el
Sistema, a fin de evitar que vuelvan a producirse
y conseguir así mejorar la eficacia del sistema.

Fig.2 Gestión de Incidencias y No Conformidades

8
MEJORA CONTINUA
Gestión de acciones preventivas y de mejora que se aplican
al sistema de seguridad para adaptarlo a nuevas situaciones
y en previsión de posibles fallos, situaciones de riesgo, etc.

Fig.3 Gestión de la Mejora Continua

Gestor documental

Los documentos exigidos por el SGSI deben estar

protegidos y controlados (4.3.2. ISO 27001).
Este módulo se encarga de gestionar, según ISO 27001, toda
la documentación del marco normativo necesaria para la
definición, puesta en marcha y mantenimiento de un SGSI.

9
ANÁLISIS Y GESTIÓN DE RIESGOS

Identificar y evaluar los riesgos a los que está expuesta

la organización, identificando las amenazas que
acechan a los distintos componentes pertenecientes o
relacionados con el sistema de información (conocidos
como activos), para determinar la vulnerabilidad del
sistema ante esas amenazas y para estimar el impacto
o grado de perjuicio que una seguridad insuficiente
puede tener para la organización, obteniendo cierto
conocimiento del riesgo que se corre y poder determinar
una respuesta apropiada según distintos escenarios.

Funcionalidades del módulo:

• Inventario de procesos y activos.

• Valoración del impacto de activos.
• Identificación de amenazas y
vulnerabilidades.
• Cálculo del riesgo.
• Decisión de Criterios de Aceptación.
• Toma de Decisiones de Actuación.
• Generación y seguimiento de las
contramedidas.
• Evaluación del nivel de seguridad.

10
PLATAFORMA DE DESARROLLO
El programa se está desarrollando sobre plataforma Java,
bases de datos PostGres y empleando en el desarrollo
herramientas basadas en software libre y estándares abiertos.

LICENCIA DE DISTRIBUCIÓN
Securia-SGSI se distribuye bajo licencia GPL (General
Public License, http://www.gnu.org/copyleft/gpl.html).

REQUISITOS DE INSTALACIÓN DE
SECURIA SGSI
Además de los requisitos específicos de la máquina
virtual java, el programa necesita 12 Mb de espacio
libre en disco duro. Para trabajar contra el servidor de
base de datos necesita una conexión TCP/IP activa.

INSTALACIÓN
La instalación del sistema completo consta de varios pasos,
por un lado es necesario instalar en el equipo servidor el
sistema de base de datos Postgres (ver "Instalación de
base de datos pdf" incluida en el paquete de instalación).

Por otro, en los equipos clientes que conectarán con el

servidor, es necesario instalar la máquina virtual java
para ejecutar los programas clientes y administrador. Y
por último instalar el paquete de Securia-SGSI(ver "Guia
Instalación pdf", incluida en el paquete de instalación).

11
12
 Información de SecuriaSGSI
El proyecto Securia SGSI es accesible desde los siguientes
sitios web:
www.securia.es
www.ceeisec.com

Desarrolla:

www.ceeisec.com
www.securia.es

Patrocinan: Colabora: Socios Tecnológicos: