Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NOMENCLATURA
• ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
DEFINICIÓN
• según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como
de los sistemas implicados en su tratamiento, dentro de una organización.
• Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un
proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial.
IMPORTANCIA
ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto
de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido
asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza,
transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente.
COMPOSICIÓN
siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles que
han sido trasladados al ISO 27001 de esta manera:
• Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones,
alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
NIVEL 2: PROCEDIMIENTOS
que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de
la información.
• Documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la
seguridad de la información.
NIVEL 4: REGISTROS
• Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están
asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.
IMPLEMENTACIÓN
• OBJETIVO 2: AUTENTICACIÓN
• Deberemos verificar que los accesos de cualquier tipo en el otro extremo de la sesión
realmente es lo que dice ser. La autenticación sólida protege a un sistema contra el riesgo de
suplantación de identidad por el que un usuario ya sea humano o una interfaz entre
aplicaciones, usa una identidad falsa para acceder a un sistema.
• Tradicionalmente, los sistemas han utilizado contraseñas y nombres de usuarios para la
autenticación. Podemos utilizar también certificados digitales como una mejora en la
seguridad. Cuando accedemos desde el sistema a una red pública como Internet, la
autenticación del usuario adquiere nuevas dimensiones.
• OBJETIVO 3: AUTORIZACIÓN
• El nivel de autorización se define en la política de seguridad al discriminar los usuarios que
tienen autorización para el acceso a determinados recursos junto con un proceso de
segmentación de las aplicaciones y el acceso a los diferentes recursos
• Mediante los procesos de autenticación se determina además si el usuario una vez identificado
tiene los permisos o la autorización necesaria para acceder a los recursos.
Se trata de supervisar los eventos relevantes para la seguridad a fin de podamos tener por ejemplo
un registro de accesos exitosos y no exitosos o denegados.