Documentos de Académico
Documentos de Profesional
Documentos de Cultura
111P01-V3
FUNDAMENTOS DE UN SISTEMA DE
GESTION DE LA SEGURIDAD DE LA
INFORMACION
111P01-V3
111P01-V3
MARCO GENERAL
111P01-V3
111P01-V3
INFORMACIÓN
111P01-V3
La información consiste en un conjunto de
datos que poseen un significado, de modo tal
que reducen la incertidumbre y aumentan el
conocimiento de quien se acerca a
contemplarlos.
Idalberto Chiavenato
111P01-V3
INFORMACIÓN EN LA EMPRESA
Información contable
y financiera
Datos de productividad
Bases de datos
Personal
y aplicativos
111P01-V3
Qué pasaría si la información se filtra para la competencia?
111P01-V3
Necesidad de la Seguridad
SPAM Virus
Ingeniería social
Incendio
Espionaje
Inundación
Sabotaje
usuario
internet
Robo físico
información
Intrusión
Fallas eléctricas
Hacking
111P01-V3
SEGURIDAD DE LA INFORMACIÓN
111P01-V3
SEGURIDAD DE LA INFORMACIÓN
111P01-V3
SISTEMA DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN (SGSI)
ISO 27000
2,34 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
111P01-V3
BS 7799
Estándar
1995
Británico
BS 7799-2
Certificable
1998
ISO/IEC 17799 Código de
prácticas
2000
BS 7799-2 Revisión
2002
ISO/IEC 17799 Revisión
2005
ISO/IEC 27001
111P01-V3
2007 ISO/IEC 27002 Código de práctica
111P01-V3
111P01-V3
COMPOSICION DE LA FAMILIA DE NORMAS ISO 27000
ISO IEC
27002
Código
ISO IEC ISO IEC
Práctica
27001 27003 Guía
Requisitos Implementar
111P01-V3
ISO 27001
Controles
ANEXO A ISO 27002
técnicos Código de práctica
Controles
A5. - A.18
111P01-V3
CONCEPTO DE PROCESO
111P01-V3
111P01-V3
¿Qué es un
Enfoque Basado en Procesos?
PROCESO 1
ADMINISTRATIVA
PRODUCCIÓN
PROCESO 2
COMERCIAL
ÁREA 1
ÁREA 2
CALIDAD
ÁREA 3
PROCESO 3
Compromisos adquiridos
111P01-V3
Mapa de Procesos
PROCESOS DE DIRECCIÓN
PROCESOS DE SOPORTE
111P01-V3
PROCESO
OBJETIVO:
ENTRADAS SALIDA
ACTIVIDADES
111P01-V3
Descripción de procesos
CÓDIGO:
Nombre Responsable
Que es lo que se
Objetivo Asegurar …( verbo en infinitivo ) Alcance trasforma en el
proceso
AMBIENTE DE
COMPETENCIAS DOCUMENTOS INFRAESTRUCTURA TRABAJO
111P01-V3
Ciclo PHVA
P
ACTUAR
¿Cómo mejorar la
próxima vez?
A H HACER Ejecutar lo
planificado
V
VERIFICAR
¿Las cosas pasaron según
lo planificado?
111P01-V3
SGSI
Ciclo de desarrollo, implementación
mantenimiento y mejora
Partes Interesadas
Establecer
el SGSI
,
Mantener y Implementar
A H
de la información.
mejorar el y operar el
SGSI SGSI
Hacer
V seguimiento y
revisar el SGSI
Entrada Salida
Documentación
111P01-V3
CAPITULOS
111P01-V3
111P01-V3
Estructura de la norma
1. OBJETO Y CAMPO DE APLICACIÓN
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4 CONTEXTO DE LA ORGANIZACIÓN
5 LIDERAZGO
6 PLANIFICACIÓN
7 SOPORTE
8 OPERACIÓN
9 EVALUACIÓN DEL DESEMPEÑO
10 MEJORA
111P01-V3
4. CONTEXTO DE 4.1 Conocimiento de la organización
LA ORGANIZACIÓN
4.2 Comprensión de necesidades
de las partes interesadas
4.3 Alcance
4.4 SGSI
111P01-V3
5. LIDERAZGO Y COMPROMISO
Roles y responsabilidades
Política y objetivos
de Seguridad de la
información
111P01-V3
6.1 Riesgos y Oportunidades
6. PLANIFICACIÓN
111P01-V3
6. PLANIFICACIÓN
111P01-V3
ESTABLECER EL CONTEXTO
•El contexto interno
•El contexto externo
•El contexto de la gestión del riesgo
•Criterios de desarrollo
IDENTIFICAR EL RIESGO
•¿Qué puede suceder?
•¿Dónde y cuándo?
•¿Cómo y porqué?
COMUNICACIÓN Y CONSULTA
MONITOREO Y REVISION
ANALIZAR LOS RIESGOS
Identificación de los controles existentes
Determinar Determinar
las
consecuencias
la
posibilidad
ISO 31000
Determinar el nivel del riesgo
Si
TRATAR EL RIESGO
•Identificar opciones
•Evaluar opciones
•Preparar e implementar planes de tratamiento
•Analizar y evaluar el riesgo residual
111P01-V3
Análisis y tratamiento del riesgo
• Plan de tratamiento
• Declaración de aplicabilidad
• Aprobación Riesgos y aceptación Dueños de los riesgos
111P01-V3
6. PLANIFICACIÓN
• Actividades
• Recursos
• Responsables
• Planes
• Tiempos
• Evaluación de resultados
111P01-V3
7.2 Competencia y toma de conciencia
Mantener registros
111P01-V3
Contenido
Cuando comunicar
Receptor
Emisor
Medio
111P01-V3
7.5.3 Control información documentada
POLÍTICA Y OBJETIVOS
DEL SGSI
PLAN DE
TRATAMIENTO
DE RIESGOS
Análisis, valoración y
ALCANCE
tratamiento riesgos
PROCEDIMIENTOS DECLARACIÓN DE
Y CONTROLES APLICABILIDAD
REGISTROS
Procedimientos EXIGIDOS
documentados que necesite
la organización
111P01-V3
7.5. Control información documentada
• la identificación y descripción (título, fecha, autor
111P01-V3
8 OPERACIÓN
111P01-V3
8.2 Evaluación de los Riesgos
111P01-V3
9 EVALUACIÓN DEL DESEMPEÑO
111P01-V3
Procesos,
actividades,
procedimientos y Métodos
controles a medir (Comparables y
reproducibles)
9.1 Seguimiento,
medición,
análisis y
evaluación
Momentos Responsables
Registros de
los resultados
111P01-V3
9.2 Auditorías internas
Cumplimiento de requisitos:
V Organización (SGSI)
Norma
Legales
Reglamentarios
(implementados y mantenidos
eficazmente)
A
Acciones
Correctivas
y Mejora
111P01-V3
9.3. Revisión del SGSI por la dirección
SALIDA
• Retroalimentación de las partes
interesadas. Decisiones de la Mejora continua y
cualquier decisión de cambio.
• Cambios externos e internos
ENTRADA
• Desempeño procesos
• No conformidades y acciones
correctivas
• Seguimiento y resultados de mediciones
• Resultados de Auditorías.
REGISTROS
• Cumplimiento de objetivos
Desarrollo, análisis,
• Resultados de evaluación de riesgos y conclusiones, planes de acción
estado del plan de tratamiento.
• Oportunidades de mejora
111P01-V3
CRITERIOS REALIDAD
- ESPECIFICACIONES Conveniencia
-- REGLAMENTOS PROCESOS
- MANUALES
- NORMAS
LO QUE SE HACE
LO QUE SE DEBE HACER
OBJETIVO
CUMPLIR SISTEMÁTICAMENTE
REQUISITOS DEL SISTEMA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPECIFICADOS
LO QUE SE QUIERE
HACER
111P01-V3
10. Mantener y mejorar el SGSI
111P01-V3
ANEXO A CONTROLES
111P01-V3
111P01-V3
Anexo A. Objetivos y controles
14
CLÁUSULAS
DE CONTROL
35 OBJETIVOS DE
CONTROL
114 CONTROLES
111P01-V3
Anexo A. Objetivos y controles
14
CLÁUSULAS DE
CONTROL
111P01-V3
Cláusulas de control
Documentada y comunicada.
Conjunto de políticas. A.5 Política de seguridad Revisada periódicamente.
111P01-V3
Cláusulas de control
A. 7 SEGURIDAD DE LOS RECURSOS HUMANOS
• Retiro de
TERMINOS Y
privilegios
111P01-V3
Cláusulas de control
A.8. Gestión de ACTIVOS
• Inventario de activos. • USO Aceptable de los activos
• Clasificación
A.8.2 Clasificación de la Información • Etiquetado
• Manejo de acuerdo con la clasificación
• Removibles
A.8.3 Manejo de los medios de soporte* • Disposición
• Transferencia o transporte.
111P01-V3
Cláusulas de control
111P01-V3
Cláusulas de control
A.10 CONTROLES CRIPTOGRAFICOS
Gestión de claves
111P01-V3
Cláusulas de control
• Perímetro
• Control de acceso físico
Áreas seguras. . • Seguridad física de oficinas
• Protección contra amenazas
externas y ambientales
• Áreas seguras
A.11 Seguridad • Áreas de carga y despacho y acceso
público .
física y Ambiental
• Ubicación y protección
• Servicios de suministro
• Seguridad del cableado
• Mantenimiento de los equipos
Seguridad de los equipos • Seguridad fuera instalaciones
• Seguridad en la reutilización o eliminación
• usuario desatendido, escritorio y pantalla despejada
111P01-V3
Cláusulas de control
A 12 SEGURIDAD EN LAS OPERACIONES
•Procedimientos operacionales
111P01-V3
Cláusulas de control
• Registro de eventos
•
A 12 .4 REGISTRO •
Protección de la información de registro
Registros del administrador y del operador
Y SEGUIMIENTO • Sincronización de relojes
A 12 .5 Controlar la instalación de
SOFTWARE Software en sistemas operativos.
OPERACIONAL
A 12.6 GESTION DE LA
VULNERABILIDAD TÉCNICA
A 12.7 CONTROLES SOBRE
AUDITORIAS
111P01-V3
Cláusulas de control
A.13.1 Gestión de la seguridad en redes:
• Controles de redes
• Seguridad de los servicios de red
• Separación en las redes
A.13 Gestión
de
A.13.2 Transferencia de la información
comunicacio • Acuerdos de transferencia de la
nes información y confidencialidad
• Mensajes electrónicos
111P01-V3
Análisis y especificación de requisitos de
seguridad de la información
A.14.1 Requisitos de
Seguridad de servicios de las aplicaciones en
seguridad de los sistemas
redes públicas
de información
Protección de transacciones de servicios de
aplicaciones
111P01-V3
A.15 RELACIONES CON LOS PROVEEDORES
• Seguimiento y revisión de
los servicios
• Gestión de cambios
111P01-V3
Cláusulas de control
111P01-V3
Cláusulas de control
111P01-V3
111P01-V3