Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GESTIÓN DE SEGURIDAD
GR1
Profesor:
Ing. William Andrade
Alumnos:
Alisson Sanmartín
Juan Valdiviezo
Fecha:
21- junio-2021
Tabla de contenido
Fig 2. SGSI
3. Objetivos de los SGSI
Los objetivos, a diferencia de las declaraciones de la política, sí deben determinar
qué se realizará, con qué recursos, quién es el responsable, cuándo se debe
completar y cómo se evalúan los resultados de los objetivos.
Objetivo General
Asegurar que las empresas tengan implementando todos los controles
adecuados sobre la confidencialidad, integridad y disponibilidad de la
información.
Objetivos Especificos
• Ayudar a las empresas a demostrar a sus clientes como evalúan
la seguridad de la información.
• Mostrar compromiso durante la gestión de seguridad.
• Garantiza el tratamiento de los problemas de seguridad.
Fig 3. Objetivos SGSI
4. Implementación
El modelo PDCA se lo utiliza para la implantación de sistemas de gestión:
o Plan
En esta etapa se identifican los problemas específicos que se pueden
enfrentar en la ejecución de un proyecto, los recursos que se utilizarán,
que recursos están disponibles y cuales tendrán que ser solicitados, los
requisitos de las partes interesadas, las condiciones de ejecución, y los
objetivos finales del proyecto.
o Hacer
Una vez que se encuentra una solución al problema o un nuevo método
para optimizar el proceso, la fase de implementación comienza en la
práctica. En esta etapa, registre la información relevante, especialmente
la información sobre cualquier problema que pueda surgir. Recuerde,
nuestros planes en papel no siempre se reproducen fielmente en la
realidad.
o Verificar
5. Documentación de SGSI
Como se muestra a continuación gráficamente podemos interpretar la
documentación del sistema como una pirámide de cuatro niveles.
o Documentos de Nivel 1
Manual de seguridad: Documentación que inspira y dirige todo el sistema, el
que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
o Documentos de Nivel 2
Procedimientos: Documentación en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificación, operación y control de los procesos
de seguridad de la información.
o Documentos de Nivel 3
Instrucciones, checklists y formularios: Documentación que describen cómo
se realizan las tareas y las actividades específicas relacionadas con la
seguridad de la información.
o Documentos de Nivel 4
Registros: Documentación que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; están asociados a documentos de
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.
6. Fases de la documentación
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
• Administración pública
Es vital establecer y normalizar la seguridad de la información con el
cumplimiento de aquellas normativas y políticas en el ámbito de los
servicios públicos, que siempre ha sido fundamental pero que cobra
mayor importancia con el uso de los medios electrónicos con la
obligatoriedad de la transformación digital.
Esta transformación debe ir acompañada de medidas organizativas y
técnicas que protejan de forma proporcional la información gestionada
por los diferentes organismos públicos y los servicios públicos que
prestan. [1]
• Automoción
El sector de la automoción está experimentando una profunda
transformación con la digitalización de los sistemas en el automóvil que
son necesarios para brindar automatización, conectividad y movilidad
compartida de los vehículos.
• Financiero
El sector financiero proporciona una columna vertebral crucial para la
economía mundial con una creciente dependencia de las infraestructuras
de TIC, los proveedores y su cadena de suministro.
La importancia de la seguridad y la resiliencia de las TIC en apoyo del
sector financiero creció considerablemente y el objetivo de proteger las
transacciones interbancarias automatizadas y, en general, todos los tipos
de comunicaciones, es más crítico y complejo al mismo tiempo. [1]
• Salud
El sector de la salud está pasando un proceso intensivo de digitalización
adoptando progresivamente nuevas tecnologías para mejorar y ofrecer
nuevos y mejores servicios centrados en la atención del paciente en el
hogar y alcanzar la excelencia operativa.
• Telecomunicaciones
Internet es posible gracias a la interconexión de las diferentes redes que
la componen.
La conectividad es la base fundamental sobre la que se asienta el
desarrollo de las economías y sociedades del siglo XXI y que ha llega a su
máxima expresión con la intercomunicación de miles de millones de
diversos dispositivos que capturan, tratan, comparten datos e
información de todo tipo. [1]
• Redes inteligentes
Las redes inteligentes se refieren a aquellas redes eléctricas que pueden
integrar el comportamiento y las acciones de todos los usuarios
conectados (generadores, consumidores y los que desarrollan ambos
roles) para asegurar un sistema energético económicamente eficiente,
sostenible, con bajas pérdidas y altos niveles de calidad y seguridad de
suministro.
• Servicios de la nube
El número de servicios en nube se incrementa continuamente con
diversas funcionales para la creación, transferencia y almacenamiento de
todo tipo de datos e información más o menos sensible.
La contratación de servicios de nube supone para las organizaciones un
modelo de responsabilidad compartida con un proveedor que debe
cumplir con el nivel de seguridad alineado con el de la organización que
delega los datos. [1]
Se deben verificar aspectos adicionales relevantes como la cadena de
proveedores asociada al proveedor de los servicios finales, el control de
la ubicación en las transferencias de los datos, así como, el análisis y
gestión adecuada de los riesgos que las propias organizaciones que
contratan estos servicios deben aplicar antes de contratar servicios en la
nube.
• Trasporte
El sector del trasporte de pasajeros y mercancías está experimentando
una importante transformación en sus operaciones, sistemas e
infraestructura debido a la digitalización de los sistemas e infraestructura
de OT e IT.
La automatización de los procesos, los problemas del transporte público
y el creciente número de las interconexiones con servicios externos y
multimodales quedan expuestas sin una protección adecuada. [1]
8. Referencias
[1] «ISO 217001.ec,» [En línea]. Available: https://www.iso27000.es. [Último acceso: 21 junio
2021].
[2] ISO 27001:2013, SGSI, «¿Qué es SGSI?,» 28 julio 2015. [En línea]. Available:
https://www.pmg-ssi.com/2015/07/que-es-sgsi/. [Último acceso: 21 junio 2021].
[6] Normas ISO, «ISO 27001 SEGURIDAD DE LA INFORMACIÓN,» [En línea]. Available:
https://www.normas-iso.com/iso-27001/. [Último acceso: 21 junio 2021].
9. Anexos