SEGURIDAD INFORMATICA

Semana 7- Sesión 1 y 2

Sistemas de Gestión de Seguridad de la

Información
SGSI

Mg. Ing. Julio Arboleda H.

1
 Contenido

INTRODUCCIÓN

1 Concepto fundamentales, SGSI

2 ISO 27000, ISO 27002

3 Planificar /Hacer /Verificar /Actuar

4 Auditorias

2
 INTRODUCCIÓN

SGSI

La certificación bajo la norma ISO 27001 garantiza que una

empresa tiene implantado un SGSI y refuerza su imagen de
marca.
3
 Qué es Información?
➢ Es un conjunto de datos acerca de algún suceso, hecho,
fenómeno o situación, que organizados en un contexto
determinado tienen un significado y que tiene el propósito
de reducir la incertidumbre o incrementar el conocimiento
de algo.
➢ Información existe en diferentes formatos:
− Capital Humano
− Impresa o escrita en papel
− Dispositivos de almacenamiento (Discos, CDs, etc…)
− Oral (teléfono, móvil, etc.)
− Video, fotos.

4
 La Información en las Empresas

Estos activos pueden ser clasificados de la siguiente forma:

• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización
• Servicios (comunicaciones, etc.)

5
 Qué es seguridad de la Información?
La seguridad de información se caracteriza
por la preservación de:

Confidencialidad

Integridad

Disponibilidad de la
información

6
 ¿Seguridad de la Información ?
• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la
forma que tome o los medios por los que se comparte
o almacene.
7
 Qué es norma ISO 27001?

ISO 27001 es una norma internacional

emitida por la Organización Internacional de
Normalización (ISO) y describe cómo
gestionar la seguridad de la información en
una empresa.

8
 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN

• Es una norma internacional que permite el

aseguramiento, la confidencialidad e
integridad de los datos y de la información,
así como de los sistemas que la procesan.

• Permite a las organizaciones la evaluación

del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos.

9
 SISTEMAS DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN

Un Sistema de Gestión abarca una estructura, unos recursos,

unos procesos y unos procedimienntos que tienden a poner
en práctica los objetivos y politicas de una organización.

La Gestión de la seguridad de la informacion necesita

medidad de seguridade técnica, de procedimento, física,
lógicas, de personal, y de gestión.

10
 SISTEMAS DE GESTIÓN LA
SEGURIDAD DE LA INFORMACIÓN
ISO 27001 se ha convertido en la principal norma a nivel
mundial para la seguridad de la información y muchas
empresas han certificado su cumplimiento:

Fuente: Encuesta ISO sobre certificaciones de la norma para

sistemas de gestión
11
 (Planificar /Hacer /Verificar /Actuar)

El SGSI adopta el siguiente modelo para establecer, implementar,

monitorear y mejorar.

Definir la política de seguridad Implantar el plan de gestión de

riesgos Implantar el SGSI
Establecer el alcance del SGSI
Implantar los controles.
Realizar los análisis de riesgos Planificar
Hacer Implantar indicadores.
Seleccionar los controles
PHVA
Revisiones del SGSI por parte
Adoptar acciones correctivas Actuar de la Dirección.
Verificar
Adoptar acciones preventivas Realizar auditorías internas del
SGSI
 Establecer el SGSI (Plan)
• Establecer la política de seguridad, objetivos, metas, procesos y
procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la información para generar resultados de acuerdo con
una política y objetivos marco de la organización.

• Definir el alcance del SGSI a la luz de la organización.

• Definir la Política de Seguridad.

• Aplicar un enfoque sistémico para evaluar el riesgo.

– No se establece una metodología a seguir.

 Establecer el SGSI (Plan)
• Identificar y evaluar opciones para tratar el riesgo
– Mitigar, eliminar, transferir, aceptar

• Seleccionar objetivos de Control y controles a implementar (Mitigar).

– A partir de los controles definidos por la
ISO/IEC 17799

• Establecer enunciado de aplicabilidad

 Implementar y operar (Do)
• Implementar y operar la política de seguridad, controles, procesos y
procedimientos.

• Implementar plan de tratamiento de riesgos.

– Transferir, eliminar, aceptar

• Implementar los controles seleccionados.

– Mitigar
• Aceptar riesgo residual.
– Firma de la alta dirección para riesgos que
superan el nivel definido.
 Implementar y operar (Do)
• Implementar medidas para evaluar la eficacia de los controles

• Gestionar operaciones y recursos.

• Implementar programas de Capacitación y concientización.

• Implementar procedimientos y controles de detección y respuesta a

incidentes.
 Monitoreo y Revisión (Check)

• Evaluar y medir la performance de los procesos contra la política de

seguridad, los objetivos y experiencia practica y reportar los
resultados a la dirección para su revisión.

– Revisar el nivel de riesgo residual aceptable,

considerando:
• Cambios en la organización.
• Cambios en la tecnologías.
• Cambios en los objetivos del negocio.
• Cambios en las amenazas.
• Cambios en las condiciones externas (ej. Regulaciones,
leyes).
– Realizar auditorias internas.
– Realizar revisiones por parte de la dirección del SGSI.
17
 Monitoreo y Revisión (Check)

• Se debe establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos de
seguridad.
• Determinar las acciones realizadas para resolver brechas a
la seguridad.

• Mantener registros de las acciones y eventos que pueden impactar

al SGSI.

• Realizar revisiones regulares a la eficiencia del SGSI.

21
 Monitoreo y Revisión (Check)

• Se debe establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos de
seguridad.
• Determinar las acciones realizadas para resolver brechas a
la seguridad.

• Mantener registros de las acciones y eventos que pueden impactar

al SGSI.

• Realizar revisiones regulares a la eficiencia del SGSI.

21
 Monitoreo y Revisión (Check)

• Se debe establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos de
seguridad.
• Determinar las acciones realizadas para resolver brechas a
la seguridad.

• Mantener registros de las acciones y eventos que pueden impactar

al SGSI.

• Realizar revisiones regulares a la eficiencia del SGSI.

21
 Mantenimiento y mejora del SGSI

• Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisión de la dirección, para lograr la mejora
continua del SGSI.

– Medir el desempeño del SGSI.

– Identificar mejoras en el SGSI a fin de implementarlas.
– Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
– Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
– Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.

22
 Documentación del SGSI

Contenido de los documentos

Describe el sistema de gestión de la
MANUAL DE
SEGURIDAD
seguridad

PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las
EXIGIDOS POR LA actividades
NORMA

OTROS DOCUMENTOS DEL SGSI

Describe tareas y
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
requisitos
OTROS)
Son evidencias objetivas de la
REGISTROS ejecución de procesos,
actividades o tareas
Etapas a seguir

23
 Requisitos de Certificación del SGSI
• La norma establece requisitos para Establecer, Implementar y
Documentar un SGSI.
– Definir el alcance del SGSI (fronteras)
– Definir una política de seguridad
– Identificar activos
– Realizar el análisis de riesgos de activos.
– Identificar las áreas débiles de los activo
– Tomar decisiones para manejar el riesgo
– Seleccionar los controles apropiados
– Implementar y manejar los controles seleccionados.
– Elaborar la declaración de aplicabilidad

24
 Objetivos de auditoria
• Para obtener la certificación.
• Revisar conformidad con la norma (ISO/IEC 27001)
• Revisar grado de puesta en práctica del sistema
• Revisar la eficacia y adecuación en el cumplimiento de:
– Política de seguridad
– Objetivos de seguridad
• Identificar las fallas y debilidades en la seguridad
• Proporcionar una oportunidad para mejorar el SGSI
• Cumplir requisitos contractuales.
• Cumplir requisitos regulatorios.

26
 Dentro de la auditoria
• Guía: persona de la empresa que acompaña al equipo
auditor y le facilita la información solicitada.
Normalmente será el Responsable del Sistema de Gestión de la
Seguridad de la Información.
• Representante de la dirección: persona con autorización suficiente en
la empresa para confirmar la implicación y compromiso de la dirección
con las políticas de seguridad y aprobadas.
• Observadores, personal en formación: normalmente personal de la
empresa en formación para auditor interno.
• Consultores: cuando la empresa contrata un consultor externo para
• asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría
pero no debe intervenir en ningún momento .

26
Dentro de la auditoria del
SGSI

27
Dentro de la auditoria del
SGSI

28
 Dentro de la auditoria del SGSI
Revisión Documental
1. Política de seguridad de la organización.
2. Alcance de la certificación.
3. Análisis de riesgos de la organización
4. La selección de controles de acuerdo con a declaración
de aplicabilidad.
5. Revisión de la documentación de los controles
seleccionados.

29
 Bibliografia

Daltabuit, E. y Hernandez, L. La seguridad de la información,

Editorial: Limusa S.A, 2007

AREITIO J,Javier Areitio,

Seguridad de la información. Redes, informática y sistemas de información,
editorial paraninfo, 2008.
ISO/IEC 27001:2005:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnum
ber=42103

ISO/IEC 27002:2005:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnum
ber=50297

Ramir Cid
Director de Seguridad | CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

30
 Preguntas
• ¿Cuándo y porque implantar un SGSI en una
organización?
Implantar un SGSI en una empresa no es
precisamente cuando se le haya presentado un
incidente de seguridad sobre su información, sino,
cuando ésta desea tener un crecimiento y
posicionamiento ante un mercado exigente y global
teniendo en cuenta que para ello, requerirá del uso de
la Tecnología de la información y las comunicaciones
para lograrlo.

31
 Preguntas
• ¿Es necesario certificarme en la ISO/IEC 27001:2005?

El hecho de que la empresa no se certifique no supone

perjuicio para ella, pero si desea competir en un mercado
globalizado, marcar un posicionamiento en la empresa y
ampliar su cobertura es necesario que lo haga. Ya que le
permite crear en los clientes la confianza de estar en una
empresa con un alto grado de protección de la información
que manejan y de la información que mantiene de ellos.

32
 Preguntas
• ¿Exprese el proceso del SGSI?

Un buen SGSI puede ver como un ciclo cerrado, que

comienza con la prevención de amenaza, la reducción de
las mismas , la detección de incidentes y la contención de
los mismos. Los daños ocasionados se corrigen y se
pasan a la recuperación, seguida de la evaluación y de
nuevo, se vuelve al comienzo del ciclo con la prevención
de amenazas.

33
Gracias,,,

34