Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Sgsi 130413162731 Phpapp02

    Cargado por

    Susana
    4 vistas28 páginas
    SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

    Título original

    sgsi-130413162731-phpapp02 (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas28 páginas

    Sgsi 130413162731 Phpapp02

    Cargado por

    Susana
    SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 28

    ISO 27001

    SISTEMAS DE GESTIÓN DE LA
    SEGURIDAD DE LA
    INFORMACIÓN

    ISO 27001

    Base de datos
    Qué es Información?

    ISO 27001
    Es un conjunto de datos acerca de algún suceso,
    hecho, fenómeno o situación, que organizados en
    un contexto determinado tienen un significado y
    que tiene el propósito de reducir la incertidumbre
    o incrementar el conocimiento de algo.
     Information existe en diferentes formatos:
    − Capital Humano
    − Impresa o escrita en papel
    − Dispositivos de almacenamiento (Discos,
    CDs, etc…)
    − Oral (teléfono, móvil, etc.)
    − Video, fotos
    La Información en las Empresas
    ISO 27001
    Dentro de una Empresa, la información es
    considerada un Activo (un recurso) que tiene
    valor o utilidad para sus operaciones
    comerciales y su continuidad. Por esta razón,
    esta información necesita tener protección
    para asegurar una correcta operación del
    negocio y una continuidad en sus
    operaciones.
    La Información en las Empresas
    Estos activos pueden ser clasificados de la siguiente
    ISO 27001

    forma:
    • Activos de Información (datos, manuales de usuario, etc.)
    • Documentos en Papel (contratos)
    • Activos de software (aplicación, software de sistema, etc.)
    • Activos físicos (computadores, medios magnéticos, etc.)
    • Personal (clientes, trabajadores)
    • Imagen y reputación de la organización
    • Servicios (comunicaciones, etc.)
    Qué es seguridad de la
    ISO 27001
    Información?
    La seguridad de información se caracteriza por la
    preservación de:

    Confidencialidad

    Integridad

    Disponibilidad de la
    información
    Identificación de Amenazas
    Tipos de Amenazas
    ISO 27001
    Am

    cio as
    les
    ra az
    H en

    na
    um a

    pe en
    an zas

    O Am
    as

    Amenazas a Amenazas
    Instalaciones Sociales

    Am
    óg s

    Na en
    ol za

    tu aza
    ica
    cn ena

    ra s
    l es
    Te Am
    Vulnerabilidades
    Tipos de Vulnerabilidades
    ISO 27001

    Control de
    Acceso
    Seguridad de los Seguridad física y
    recursos humanos ambiental

    Ge
    st
    y c i ón
    ac Sis o,
    n de
    r m e nt

    om op
    ió t .
    fo o d ie

    un era
    in oll nim

    i ca c i o
    rr te

    ció ne
    sa n

    n s
    de Ma
    ISO 27001

    Seguridad de la Información
    SGSI
    ¿Seguridad de la Información ?
    • La información es un activo que como otros activos
    ISO 27001
    importantes tiene valor y requiere en consecuencia una
    protección adecuada.
    • La información puede estar:
    • Impresa o escrita en papel.
    • Almacenada electrónicamente.
    • Trasmitida por correo o medios electrónicos
    • Mostrada en filmes.
    • Hablada en conversación.

    • Debe protegerse adecuadamente cualquiera que sea la forma


    que tome o los medios por los que se comparte o almacene.
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo
    • “La información es un activo que, como otros
    activos comerciales importantes, tiene valor para
    la organización y, en consecuencia, necesita ser
    protegido adecuadamente”.
    • “Un Sistema de Gestión de Seguridad de
    Información (SGSI) es un sistema gerencial
    general basado en un enfoque de riesgos para
    establecer, implementar, operar, monitorear,
    revisar, mantener y mejorar la seguridad de la
    información”
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo

    4 1
    Requerimientos Actuar Planificar
    Seguridad de
    y Expectativas
    Información
    de la Seguridad
    Administrada
    de Información
    3 2
    Revisar Hacer
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    4
    Requerimientos Actuar
    Seguridad de
    y Expectativas 1
    Información
    de la Seguridad
    Planificar
    Administrada
    de Información
    3 2
    Revisar Hacer
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    • Planificar.
    • Definir el enfoque de evaluación del riesgo de
    la organización.
    • Establecer metodología de cálculo del riesgo.
    • Establecer criterios de aceptación del riesgo y
    niveles de aceptación del mismo.
    • Identificar los riesgos asociados al alcance
    establecido.
    • Analizar y evaluar los riesgos encontrados.
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    • Planificar.
    • Identificar y evaluar las opciones de tratamiento de los
    riesgos.
    • Aplicar controles.
    • Aceptarlo de acuerdo a los criterios de aceptación.
    • Evitarlo.
    • Transferirlo.
    • Seleccionar objetivos de control y controles sugeridos
    por la norma y/u otros que apliquen.
    • Obtener la aprobación de la gerencia para los riesgos
    residuales e implementar el SGSI.
    • Preparar el Enunciado de Aplicabilidad.
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo

    4 1
    Requerimientos Actuar Planificar
    Seguridad de
    y Expectativas
    2 Información
    de la Seguridad Hacer Administrada
    de Información
    3
    Revisar
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo
    • Hacer.
    • Plan de tratamiento del riesgo.
    • Implementar el plan de tratamiento del riesgo.
    • Implementar controles seleccionados.
    • Definir la medición de la efectividad de los
    controles a través de indicadores de gestión.
    • Implementar programas de capacitación.
    • Manejar las operaciones y recursos del SGSI.
    • Implementar procedimientos de detección y
    respuesta a incidentes de seguridad.
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    4 1
    Requerimientos Actuar Planificar
    Seguridad de
    y Expectativas
    3 Información
    de la Seguridad Revisar Administrada
    de Información
    2
    Hacer
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    • Revisar.
    • Procedimientos de monitoreo y revisión para:
    • Detectar oportunamente los errores.
    • Identificar los incidentes y violaciones de seguridad.
    • Determinar la eficacia del SGSI.
    • Detectar eventos de seguridad antes que se
    conviertan en incidentes de seguridad.
    • Determinar efectividad de las acciones correctivas
    tomadas para resolver una violación de seguridad.
    • Realizar revisiones periódicas.
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo
    • Revisar.
    • Medición de la efectividad de los controles.
    • Revisar las evaluaciones del riesgo periódicamente y
    revisar el nivel de riesgo residual aceptable.
    • Realizar auditorías internas al SGSI.
    • Realizar revisiones gerenciales.
    • Actualizar los planes de seguridad a partir de resultados
    del monitoreo.
    • Registrar las acciones y eventos con impacto sobre el
    SGSI.
    Gestión Seguridad Información
    ISO 27001
    ISO-27001:2005. Modelo Preventivo

    1
    Requerimientos Planificar
    Seguridad de
    y Expectativas
    4 Información
    de la Seguridad Actuar Administrada
    de Información
    3 2
    Revisar Hacer
    Gestión Seguridad Información
    ISO-27001:2005. Modelo Preventivo
    ISO 27001

    • Actuar.
    • Implementar las mejoras identificadas en el
    SGSI.
    • Aplicar acciones correctivas y preventivas de
    seguridad al SGSI.
    • Comunicar los resultados y acciones a las
    partes interesadas.
    • Asegurar que las mejoras logren sus objetivos
    señalados.
    ISO 27001

    Seguridad de la Información
    SGSI
    Mantenimiento y mejora del SGSI (Act)
    • Tomar acciones correctivas y preventivas, basadas en los
    ISO 27001
    resultados de la revisión de la dirección, para lograr la
    mejora continua del SGSI.

    • Medir el desempeño del SGSI.


    • Identificar mejoras en el SGSI a fin de implementarlas.
    • Tomar las apropiadas acciones a implementar en el
    ciclo en cuestión (preventivas y correctivas).

    • Comunicar los resultados y las acciones a emprender, y


    consultar con todas las partes involucradas.
    • Revisar el SGSI donde sea necesario implementando
    las acciones seleccionadas.
    Estructura de la Documentación Requerida
    Enfoque de la Gerencia
    Manual de
    Política, Alcance,
    ISO 27001 Nivel I Evaluación Riesgo
    Seguridad

    Descripción de
    procesos,
    Nivel II Procedimientos
    Quién hace qué y
    cuándo

    Describe tareas
    Instrucciones de
    Nivel III específicas y cómo se
    Trabajo
    realizan

    Provee evidencia
    Nivel IV objetiva de la Registros
    conformidad con SGSI
    Factores Claves de Éxito en la
    Implementación de un SGSI
    ISO 27001

    • Política de seguridad documentada y


    alineada con los objetivos del negocio.
    • Apoyo y participación visible de la alta
    gerencia.
    • Entendimiento de los requerimientos de
    seguridad, evaluación y gestión de los
    riesgos asociados.
    • Compatibilidad con la cultura
    organizacional.
    • Entrenamiento y educación.
    Conclusiones
    • Hoy en día las organizaciones
    ISO 27001

    dependen en gran medida de su


    tecnología y sus activos de
    información.
    • Por lo anterior, impera una protección
    adecuada a las informaciones
    importantes.
    • Seguridad no es un producto, es un
    proceso que debe ser administrado.
    Conclusiones
    ISO 27001

    • Nada es estático, la seguridad no es la


    excepción. Mejora continua.
    • Seguridad total no existe, pero sí existe
    la garantía de calidad en un proceso de
    seguridad.
    Preguntas y Respuestas
    ISO 27001

    También podría gustarte