Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • HaciaUnaImplementacionExitosaDeUnSGSI PDF

    Cargado por

    Victor Hugo Figueroa Fernandez
    47 vistas18 páginas
    Este documento propone una metodología para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información (SGSI) en 3 etapas: 1) Planificación, que incluye definir el alcance, políticas, evaluación de riesgos y selección de controles; 2) Implementación, que comprende la capacitación y puesta en marcha de controles; y 3) Verificación y acción, que consiste en auditorías internas y mejora continua. El objetivo es complementar el modelo PDCA utilizado en la norma BS 7799-

    Descripción original:

    Título original

    HaciaUnaImplementacionExitosaDeUnSGSI.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento propone una metodología para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información (SGSI) en 3 etapas: 1) Planificación, que incluye definir el alcance, políticas, evaluación de riesgos y selección de controles; 2) Implementación, que comprende la capacitación y puesta en marcha de controles; y 3) Verificación y acción, que consiste en auditorías internas y mejora continua. El objetivo es complementar el modelo PDCA utilizado en la norma BS 7799-

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    47 vistas18 páginas

    HaciaUnaImplementacionExitosaDeUnSGSI PDF

    Cargado por

    Victor Hugo Figueroa Fernandez
    Este documento propone una metodología para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información (SGSI) en 3 etapas: 1) Planificación, que incluye definir el alcance, políticas, evaluación de riesgos y selección de controles; 2) Implementación, que comprende la capacitación y puesta en marcha de controles; y 3) Verificación y acción, que consiste en auditorías internas y mejora continua. El objetivo es complementar el modelo PDCA utilizado en la norma BS 7799-

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    Hacia una Implementacin

    Exitosa de un SGSI
    Gustavo Betarte

    Mara Eugenia Corti

    Reynaldo de la Fuente

    Facultad de Ingeniera
    Universidad de la Republica
    gustun@fing.edu.uy

    Facultad de Ingeniera
    Universidad de la Republica
    mcorti@ieee.org

    Datasec
    reynaldo@datasec-soft.com

    Contenido
    n Introduccin
    n El modelo aplicado en la BS 7799-2
    n Descripcin de la Metodologa Propuesta
    n Conclusiones

    G. Betarte - M. E. Corti - R. de la Fuente

    Introduccin
    n SGSI: Parte del sistema total de gestin,

    basado en un enfoque por riesgo del


    negocio, que establece, implementa, opera,
    controla, revisa, mantiene y mejora la
    seguridad de la informacin. [BS 7799]
    n Seguridad de la informacin: Preservacin

    de la confidencialidad, integridad y
    disponibilidad de la informacin. [BS 7799]

    G. Betarte - M. E. Corti - R. de la Fuente

    BS 7799-2:2002

    n La BS 7799-2:2002 adopta el modelo Plan

    Do Check Act (PDCA, PHVA segn su sigla


    en espaol), conocido tambin como Ciclo de
    Deming, para establecer, implementar,
    monitorear, revisar y mantener un SGSI.

    G. Betarte - M. E. Corti - R. de la Fuente

    Modelo PDCA (PHVA) aplicado en


    BS 7799-2:2002
    Planificar
    Establecimiento el SGSI

    Hacer

    Actuar

    Implementacin y
    operacin del SGSI

    Mantenimiento y mejora
    del SGSI

    Verificar
    Seguimiento y revisi n del
    SGSI

    G. Betarte - M. E. Corti - R. de la Fuente

    Metodologa Propuesta

    G. Betarte - M. E. Corti - R. de la Fuente

    Metodologa Propuesta
    Etapa de Planificacin

    G. Betarte - M. E. Corti - R. de la Fuente

    Metodologa Propuesta
    Etapa de Planificacin
    Alcance del SGSI

    Polticas de seguridad y
    objetivos de control

    Definicin

    Definir el alcance del SGSI


    de
    Objetivos
    Definir la poltica del SGSI
    Formacin del equipo de trabajo
    Definir mtodo para valoracin
    de riesgos
    Identificar riesgos
    Evaluar riesgos

    Reporte de evaluacin
    de Riesgos

    Valoracin
    de Riesgos

    Tratamiento
    de Riesgos

    Identificar y evaluar opciones


    Seleccin de controles y objetivos de
    control
    Definir indicadores

    Declaracin
    de
    aplicabilidad

    Indicadores
    G. Betarte - M. E. Corti - R. de la Fuente

    Indicadores
    Actividad/
    Control

    Indicador

    Objetivo

    Referencia Periodicidad

    % de empleados
    capacitados en
    seguridad

    Medir el nivel de
    capacitacin en la
    empresa

    Perodo anterior

    Depende del
    tamao de la
    empresa y la
    movilidad de sus
    empleados

    % de incidentes
    de seguridad
    relacionados
    con los
    empleados

    Medir la efectividad
    de la capacitacin

    Perodo anterior

    No mayor a un ao

    Nmero de
    incidentes

    Verificar la
    efectividad de los
    controles
    seleccionados

    Perodo anterior

    No mayor a un ao

    Concientizacin y
    Capacitacin

    Operacin de
    control

    G. Betarte - M. E. Corti - R. de la Fuente

    Metodologa Propuesta
    Etapa de Implementacin

    G. Betarte - M. E. Corti - R. de la Fuente

    10

    Metodologa Propuesta
    Etapa de Implementacin
    Definicin de
    Objetivos

    PLAN

    Valoracin
    de Riesgos
    Tratamiento
    de Riesgos

    Retroalimentacin

    DO
    Implementacin y
    Operacin

    Plan de
    tratamiento de
    Riesgos
    G. Betarte - M. E. Corti - R. de la Fuente

    11

    Capacitacin y Concientizacin

    G. Betarte - M. E. Corti - R. de la Fuente

    12

    Metodologa Propuesta
    Etapas de Verificacin y Accin

    G. Betarte - M. E. Corti - R. de la Fuente

    13

    Metodologa Propuesta
    Etapas de Verificacin y Accin

    Revisiones realizadas
    en forma habitual
    Utilizar indicadores

    Auditorias
    internas

    Objetivos:
    Reflejar cambios en
    la organizacin
    Mantener los niveles
    de seguridad
    apropiados
    G. Betarte - M. E. Corti - R. de la Fuente

    14

    Conclusiones
    n Define variantes y procesos que complementan

    el modelo utilizado en la BS 7799-2:2002


    n Propone una particin de actividades

    contribuyendo a clarificar la visin global del


    proceso
    n Se refina el proceso de diseo de soluciones

    para el tratamiento de riesgo


    n Resultados del proceso de implantacin de

    controles retroalimentan subprocesos de anlisis


    y valoracin de riesgos
    G. Betarte - M. E. Corti - R. de la Fuente

    15

    Conclusiones (cont.)
    n Introduce el concepto de indicadores
    n Separa el mantenimiento continuo de las

    actividades de mejora, prevencin y deteccin


    n Capacitacin y concientizacin pasa a ser un

    proceso continuo
    n Define en cada etapa la documentacin

    resultante

    G. Betarte - M. E. Corti - R. de la Fuente

    16

    Muchas Gracias!

    G. Betarte - M. E. Corti - R. de la Fuente

    17

    Hacia una Implementacin


    Exitosa de un SGSI
    Gustavo Betarte

    Mara Eugenia Corti

    Reynaldo de la Fuente

    Facultad de Ingeniera
    Universidad de la Republica
    gustun@fing.edu.uy

    Facultad de Ingeniera
    Universidad de la Republica
    mcorti@ieee.org

    Datasec
    reynaldo@datasec-soft.com

    También podría gustarte