SGSI

La respuesta es simple ,se puede implementar un

sistema de gestin de seguridad de la informacin.
Para qu sirve?

El SGSI (Sistema de Gestin de Seguridad de la

Informacin) es el concepto central sobre el que se
construye ISO 27001.

Conocer

Gestionar

La gestin de la seguridad de la informacin debe

realizarse mediante un proceso sistemtico,
documentado y conocido por toda la organizacin.

Minimizar

Los riesgos que atentan contra la seguridad de la

informacin

Garantizar un nivel de proteccin total es virtual

mente imposible, incluso en el caso de disponer de
un presupuesto ilimitado, el propsito del SGSI
garantizar que los riesgos de la seguridad de la
informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una
forma documentada, sistema- tica, estructurada,
repetible, eficiente y adaptada a los cambios que
se produzcan en los riesgos, el entorno y las
tecnologas.
Qu nos permite un SGSI?

La seguridad de la informacin, segn

ISO 27001, consiste en la
preservacin de su confidencialidad,
integridad y disponibilidad, as como
de los sistemas implicados en su
tratamiento, dentro de una
organizacin. As pues, estos tres
trminos constituyen la base sobre la
que se cimienta todo el edificio de la
seguridad de la informacin:
Confidencialidad: la informacin no
se pone a disposicin ni se revela a
individuos, entidades o procesos no
autorizados.
Integridad: mantenimiento de la
exactitud y completitud de la
informacin y sus mtodos de
proceso.
Disponibilidad: acceso y utilizacin
de la informacin y los sistemas de
tratamiento de la misma por parte de
los individuos, entidades o procesos
autorizados cuando lo

- Analizar y ordenar la estructura de los

sistema de informacin.

Qu podemos hacer para proteger datos e

informacin en un entorno como este?

- Establecer los procedimientos de

mantener su seguridad.

trabajo para

-Disponer de controles para medir la

establecido en el punto anterior.

eficacia de lo

La idea es alcanzar un nivel de riesgo menor que el

soportado por la institucin, para preservar la
confidencialidad, integridad y disponibilidad de la
informacin.

E ase al o o i ie to del i lo de vida de

ada i fo a i eleva te se de e adopta
el uso de u p o eso siste i o, do u e tado y o o ido po toda la o ga iza i ,
desde u e fo ue de iesgo e p esa ial.
Este p o eso es el ue o situye u SGSI.

SGSI (Sistema de Gestin de la Seguridad de la Informacin )

Uso

PARA QU SIRVE UN SGSI?

La informacin, junto a los procesos y sistemas que

hacen uso de ella, son activos muy importantes de
una organizacin. La confidencialidad, integridad y
disponibilidad de informacin sensible pueden llegar
a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los
objetivos de la organizacin y asegurar beneficios
econmicos.

El nivel de seguridad alcanzado por medios tcnicos es

limitado e insuficiente por s mismo. En la gestin
efectiva de la seguridad debe tomar parte activa
toda la organizacin, con la gerencia al frente, tomando
en consideracin tambin a clientes y proveedores de
bienes y servicios. El modelo de gestin de la
seguridad debe contemplar unos procedimientos
adecuados y la planificacin e implantacin de
controles de seguridad basados en una evaluacin de
riesgos y en una medicin de la eficacia de los mismos.

QU INCLUYE UN SGSI?
En el mbito de la gestin de la calidad segn
ISO 9001, siempre se ha mostrado grficamente
la documentacin del sistema como una pirmide
de cuatro niveles. Es posible trasladar ese modelo
a un Sistema de Gestin de la Seguridad de la
Informacin basado en ISO 27001 de la siguiente
forma:

BENEFICIOS

Establecimiento de una metodologa de gestin

de la seguridad clara y estructurada.

Reduccin del riesgo de prdida, robo o

corrupcin de informacin.

Los clientes tienen acceso a la informacin a

travs medidas de seguridad.

Documentos de Nivel 1

Manual de seguridad: por analoga con el manual

de calidad, aunque el trmino se usa tambin en
otros mbitos. Sera el documento que inspira y
dirige todo el sistema, el que expone y determina
las
intenciones,
alcance,
objetivos,
responsabilidades, polticas y directrices principales,
etc., del SGSI.

Los riesgos y sus controles son continuamente

revisados. Confianza de clientes y socios estratgicos
por la garanta de calidad y confidencialidad
comercial.
Las auditoras externas ayudan cclicamente a
identificar las debilidades del sistema y las reas a
mejorar.

Confianza y reglas claras para las personas de la

organizacin.

Reduccin de costes y mejora de los procesos y

servicio.

Aumento de la seguridad en base a la gestin de

El Sistema de Gestin de la Seguridad de la Informacin

(SGSI) ayuda a establecer estas
polticas
y
procedimientos en relacin a los objetivos de
negocio de la organizacin, con objeto de mantener un
nivel de exposicin siempre menor al nivel de riesgo que
la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a
los que est sometida su informacin y los asume,
minimiza, transfiere o controla mediante una
sistemtica definida, documentada y conocida por
todos, que se revisa y mejora constantemente.

Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo,
que aseguran que se realicen de forma eficaz la
planificacin, operacin y control de los procesos de
seguridad de la informacin.

SGSI (Sistema de Gestin de la Seguridad de la Informacin )

Documentos de Nivel 3

Control de la documentacin :

Instrucciones, checklists y formularios: documentos

que describen cmo se realizan las tareas y las
actividades especficas relacionadas con la
seguridad de la informacin.

Para los documentos generados se debe establecer,

documentar, implantar y mantener un procedimiento que
defina las acciones de gestin necesarias para:

Cmo se implementa un SGSI?

Aprobar documentos apropiados antes de su emisin.

Documentos de Nivel 4

Revisar y actualizar documentos cuando sea necesario y

renovar su validez.

Para establecer y gestionar un Sistema de Gestin de

la Seguridad de la Informacin en base a ISO 27001,
se utiliza el ciclo continuo PDCA, tradicional en los
sistemas de gestin de la calidad.

Registros: documentos que proporcionan una

evidencia objetiva del cumplimiento de los requisitos
del SGSI; estn asociados a documentos de los otros
tres niveles como output que demuestra que se ha
cumplido lo indicado en los mismos.
De manera especfica, ISO 27001 indica que un
SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):

Alcance del SGSI

Poltica y objetivos de seguridad

Procedimientos y mecanismos de control que

soportan al SGSI

Enfoque de evaluacin de riesgos

Informe de evaluacin de riesgos

Plan de tratamiento de riesgos

Procedimientos documentados

Registros: documentos que proporcionan

evidencias de la conformidad con los requisitos
y del funcionamiento eficaz del SGSI

Declaracin de aplicabilidad: (SOA -Statement

of Applicability-, en sus siglas inglesas);
documento que contiene los objetivos de
control y los controles contemplados por el
SGSI, basado en los resultados de los procesos
de evaluacin y tratamiento de riesgos,

Garantizar que los cambios y el estado actual de revisin

de los documentos estn identificados.
Garantizar que las versiones relevantes de documentos
vigentes estn disponibles en los lugares de empleo.
Garantizar que los documentos se mantienen legibles y
fcilmente identificables.
Garantizar que los documentos permanecen disponibles
para aquellas personas que los necesiten y que son
transmitidos, almacenados y finalmente destruidos acorde
con los procedimientos aplicables segn su clasificacin.
Garantizar que los documentos procedentes del exterior
estn identificados.
Garantizar que la distribucin de documentos est
controlada.
Prevenir la utilizacin de documentos obsoletos.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Aplicar la identificacin apropiada a documentos

que son retenidos con algn propsito.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

SGSI - Implementacin del ciclo continuo PDCA

Plan = Establecer con planificacin

Definir el alcance del SGSI en trminos del

negocio, la organizacin, su localizacin,
activos y tecnologas, incluyendo detalles y
justificacin de cualquier exclusin.
Definir una poltica de seguridad que:
incluya el marco general y los objetivos de
seguridad de la informacin de la organizacin;
considere requerimientos legales o contractuales
relativos a la seguridad de la informacin;
establezca los criterios con los que se va a evaluar
el riesgo;
- est aprobada por la direccin.
Definir una metodologa de evaluacin del riesgo
apropiada para el SGSI y los requerimientos del
negocio, adems de establecer los criterios de
aceptacin del riesgo y especificar los niveles de
riesgo aceptable. Lo primordial de esta
metodologa es que los resultados obtenidos sean
comparables y repetibles (existen numerosas
metodologas estandarizadas para la evaluacin de
riesgos, aunque es perfectamente aceptable definir
una propia).
Identificar los riesgos:
identificar los activos que estn dentro del alcance
del SGSI y a sus responsables directos, denominados
propietarios;
Identificar las amenazas en relacin a los activos;
identificar las vulnerabilidades que puedan ser
aprovechadas por dichas amenazas;
identificar los impactos en la confidencialidad,
integridad y disponibilidad de los activos.

Analizar y evaluar los riesgos:

evaluar el impacto en el negocio de un fallo de seguridad
que suponga la prdida de confidencialidad, integridad o
disponibilidad de un activo de informacin;
evaluar de forma realista la probabilidad de ocurrencia
de un fallo de seguridad en relacin a las amenazas,
vulnerabilidades, impactos en los activos y los controles
que ya estn implementados;
estimar los niveles de riesgo;
Identificar y evaluar las distintas opciones de
tratamiento de los riesgos para:
aceptar el riesgo, siempre y cuando se siga cumpliendo
con las polticas y criterios establecidos para la aceptacin
de los riesgos;
evitar el riesgo, p. ej., mediante el cese de las
actividades que lo originan;
transferir el riesgo a terceros, p. ej., compaas
aseguradoras o proveedores de outsourcing.
Aprobar por parte de la direccin tanto los riesgos
residuales como la implantacin y uso del SGSI.

Do: Implementar y utilizar el SGSI

SGSI - Implementacin del ciclo continuo PDCA

Check: Monitorizar y revisar el SGSI

Check: Monitorizar y revisar el SGSI

Act: Mantener y mejorar el SGSI

Integrantes Grupo # 5
Yeison Arbey Jimenez
Yesid Alexander Zambrano
Carlos andres Pea
Omar andres Piamba
Jhonnantan Ordoez