Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En la sociedad moderna de la informacin y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a travs de sistemas de TI complejos y rpidos. La tecnologa de la informacin facilita muchos de los procesos, pero
tambin entraa riesgos. Por tanto, una proteccin integral de datos e informacin confidencial es especialmente importante. La fiabilidad y seguridad de la tecnologa de la informacin se convertir en el factor decisivo para el xito de una empresa.
ISO/IEC 27001
Sistema de Gestin de Seguridad de la Informacin
TV SD Iberia, S.L.U.
PLAN (PLANIFICAR)
Proteja el conocimiento y, as, los valores de su empresa. Aproveche las excelentes ventajas de un SGSI segn la ISO / IEC 27001: Mejor comprensin de las exigencias del negocio Proteccin de la informacin ante las amenazas Fcil identificacin de las debilidades Disponibilidad continua de la informacin y as garantizar una continua actividad comercial Alto nivel de confianza con sus colaboradores Disminucin del riesgo de daar la imagen corporativa
ACT (ACTUAR)
DO (HACER)
CHECK (VERIFICAR)
Disponibilidad
Slo personas autorizadas pueden acceder a la informacin Fiabilidad y exhaustividad de la informacin crtica para la empresa
Informacin
Confidencialidad
Integridad
La informacin no slo debe cumplir con los requisitos formales, sino que tambin deben corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la responsabilidad, la constancia y la confianza. Expectativas Requisitos
Disponibilidad Credibilidad
Informacin
Responsabilidad
Integridad
Datos TI
Confidencialidad
Constancia
Confianza
El Sistema de Gestin de Seguridad de la Informacin (SGSI) toma en consideracin todos los enfoques de la informacin y no se centra slo en su uso electrnico: La informacin es ms que simplemente almacenar y procesar La seguridad de la informacin no slo abarca la seguridad TI Seguridad significa confidencialidad, integridad y disponibilidad La gestin no es nicamente sistemas tcnicos y herramientas
Tecnologa
Sistemas, herramientas, estructura etc.
20 % 80 %
Gestin
Poltica y responsabilidad de la seguridad de la informacin, conocimiento y formacin, reporting, continuidad empresarial, procesos etc.
Sistema de gestin
Ciclo PDCA Gestin y responsabilidad Documentacin Formacin
Gestin de riesgos
Identificacin Valoracin
Definicin de valores
Los controles (controls) afectan a los siguientes aspectos: Seguridad fsica y del entorno Seguridad ligada a los RRHH Seguridad de comunicaciones y operaciones Control de accesos Seguridad en la fase de diseo y desarrollo Gestin de incidentes en la Seguridad de la Informacin Procedimientos de emergencia Cumplimiento
Paso 1
Definicin del alcance (scope) y los lmites de SGSI El mbito de aplicacin aclara y establece en qu campos aplica el Sistema de Gestin de Seguridad de la Informacin. Definicin de la poltica de la seguridad de la informacin Determinacin de la poltica de seguridad de la informacin para el mbito de aplicacin definido. Identificacin de los activos de la empresa (assets) y sus riesgos asociados. Dnde estn las debilidades? Qu amenazas tenemos que tener en cuenta?
Valorar las consecuencias Identificacin de las amenazas Identificacin de las debilidades Identificacin de activos y evaluacin
Paso 2
Paso 3
Paso 4
Riesgo asumible
Paso 6
Definicin de la Declaracin de Aplicabilidad, la conocida SOA (Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un resumen de las decisiones tomadas en relacin al tratamiento del riesgo.
El modelo PDCA
Apoyo y aprobacin de la direccin Buena comprensin de la valoracin y gestin de riesgos Conocimiento de la poltica de Seguridad de la Informacin Preparacin de presupuestos para todas las actividades de Gestin de Seguridad de la Informacin Crear concienciacin de los problemas TI Configuracin de un proceso eficaz frente a incidentes de Seguridad de la Informacin Garanta de eficiencia y mejora del Sistema de Gestin de Seguridad de la Informacin
Fase I de la auditora
Fase I de la auditora: mbito de aplicacin y alcance Comprensin y documentacin Definicin del grado de preparacin para la certificacin (Fase II) Fase II de la auditora de certificacin Comprobacin de cumplimiento de los requisitos de la norma y su eficacia Visita a las instalaciones, verificacin in situ y elaboracin del informe Vigencia: Certificado para 3 aos Auditora anual
Auditora de mantenimiento
Auditora de mantenimiento
Auditora de renovacin
Entrega del Certificado y del Sello de Calidad de la Informacin una vez superada la Certificacin.
www.tuev-sued.es
Resumen
En el mundo empresarial el tratamiento especfico de la informacin adquiere cada vez un papel ms importante. Slo las personas autorizadas deben tener acceso siempre y en cualquier momento a la informacin disponible. Al mismo tiempo, tambin se tiene que tomar en consideracin los requisitos a exigir a las partes externas, como clientes y autoridades, para tener acceso a la informacin. Slo por medio de un procedimiento estructurado a travs de un Sistema de Gestin de la Seguridad de la Informacin se cumplen todas las exigencias que afectan a una organizacin. Si este SGSI tambin lo audita y certifica un especialista externo, se abren nuevas posibilidades de marketing y comunicacin gracias a nuestro sello de calidad de la informacin.
TV SD Iberia, S.L.U. C/Frederic Mompou, 4A, 1o 4a 08960 Sant Just Desvern (Barcelona) Espaa Tel: +34-93 490 22 20 Fax: +34 - 93 490 29 04 info@tuev-sued.es www.tuev-sued.es
Mayo 2012/13 ES