Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Guion Meli Noah

    Cargado por

    Noé Joel Martinez Hancco
    5 vistas3 páginas
    expop

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    expop

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas3 páginas

    Guion Meli Noah

    Cargado por

    Noé Joel Martinez Hancco
    expop

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    MODELO DE UN SGSI

    NOMENCLATURA

    • SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.

    • ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

    DEFINICIÓN

    • según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como
    de los sistemas implicados en su tratamiento, dentro de una organización.

    • Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un
    proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
    empresarial.

    IMPORTANCIA

    ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto
    de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido
    asumir.

    Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza,
    transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y
    mejora constantemente.

    COMPOSICIÓN

    siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles que
    han sido trasladados al ISO 27001 de esta manera:

    NIVEL 1: MANUAL DE SEGURIDAD

    • Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones,
    alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

    NIVEL 2: PROCEDIMIENTOS

    que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de
    la información.

    NIVEL 3: INSTRUCCIONES, CHECKLIST Y FORMULARIOS

    • Documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la
    seguridad de la información.

    NIVEL 4: REGISTROS

    • Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están
    asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo
    indicado en los mismos.

    IMPLEMENTACIÓN

    Se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

    • Plan (planificar): establecer el SGSI.

    • Do (hacer): implementar y utilizar el SGSI.

    • Check (verificar): monitorizar y revisar el SGSI.

    • Act (actuar): mantener y mejorar el SGSI.


    OBJETIVO 1: PROTECCIÓN DE ACTIVOS DE INFORMACIÓN
    • Un esquema de protección de activos o recursos de información debe garantizar que solo los
    usuarios autorizados puedan acceder a objetos de información en el sistema.
    • La capacidad de asegurar todos los tipos de recursos del sistema es una fortaleza del sistema.

    • OBJETIVO 2: AUTENTICACIÓN
    • Deberemos verificar que los accesos de cualquier tipo en el otro extremo de la sesión
    realmente es lo que dice ser. La autenticación sólida protege a un sistema contra el riesgo de
    suplantación de identidad por el que un usuario ya sea humano o una interfaz entre
    aplicaciones, usa una identidad falsa para acceder a un sistema.
    • Tradicionalmente, los sistemas han utilizado contraseñas y nombres de usuarios para la
    autenticación. Podemos utilizar también certificados digitales como una mejora en la
    seguridad. Cuando accedemos desde el sistema a una red pública como Internet, la
    autenticación del usuario adquiere nuevas dimensiones.

    • OBJETIVO 3: AUTORIZACIÓN
    • El nivel de autorización se define en la política de seguridad al discriminar los usuarios que
    tienen autorización para el acceso a determinados recursos junto con un proceso de
    segmentación de las aplicaciones y el acceso a los diferentes recursos
    • Mediante los procesos de autenticación se determina además si el usuario una vez identificado
    tiene los permisos o la autorización necesaria para acceder a los recursos.

    • OBJETIVO 3: INTEGRIDAD DE LA INFORMACIÓN


    El concepto de integridad se refiere a que la información se mantenga integra dentro las operaciones
    que se realizan y sobre todo en los procesos de comunicación. Se define como la necesidad de
    proteger la información contra modificaciones o manipulaciones no autorizadas. La definición de
    integridad para los sistemas consiste en esperar que el sistema nos proporcione siempre resultados
    consistentes. Irrenunciabilidad de transacciones (No repudio) Confidencialidad
    La política de Seguridad debe garantizar la confidencialidad de la información esto es:

     La información sensible se mantiene en entornos privados y protegida contra accesos no


    autorizados y ataques maliciosos

    OBJETIVO 4: AUDITORÍA DE ACTIVIDADES DE SEGURIDAD.


    Se puede establecer como objetivo la constate vigilancia y registro de los posibles incidentes y de
    actividades sospechosas de forma que podamos prevenir los eventos no deseados

    Se trata de supervisar los eventos relevantes para la seguridad a fin de podamos tener por ejemplo
    un registro de accesos exitosos y no exitosos o denegados.

    También podría gustarte