Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Angelica B. Trabajo 1

    Cargado por

    angie Morera
    8 vistas6 páginas
    El documento describe los principios básicos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Explica que los SGSI deben implementar controles para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información de una organización. También cubre la definición y el propósito de un plan de tratamiento de riesgos para gestionar los riesgos identificados y proteger los activos de información de una empresa.

    Descripción original:

    Sistemas de informacion

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento describe los principios básicos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Explica que los SGSI deben implementar controles para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información de una organización. También cubre la definición y el propósito de un plan de tratamiento de riesgos para gestionar los riesgos identificados y proteger los activos de información de una empresa.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    8 vistas6 páginas

    Angelica B. Trabajo 1

    Cargado por

    angie Morera
    El documento describe los principios básicos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Explica que los SGSI deben implementar controles para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información de una organización. También cubre la definición y el propósito de un plan de tratamiento de riesgos para gestionar los riesgos identificados y proteger los activos de información de una empresa.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Introducción

    La gestión de riesgos y amenazas a los activos de información de las empresas, y


    en especial de las instituciones financieras, requiere la implementación y soporte de un
    sistema de gestión de seguridad de la información que asegure la creación de valor con
    el nivel de seguridad requerido. para proteger la integridad, disponibilidad y
    confiabilidad de los datos.

    La información de la empresa es uno de los activos más valiosos, y mantener


    esta información fuera del alcance de terceros es una de las tareas más importantes. El
    acceso e injerencia de personas ajenas a la información confidencial de la organización
    puede destruir la posición que la empresa tiene en el mercado y la confianza que los
    clientes tienen en la empresa.

    Cualquiera de las consecuencias se considera pérdida irreparable. Hoy en día,


    existen muchas formas en las que la información puede verse comprometida, por lo que
    es importante evaluar estos riesgos, implementar los controles necesarios y establecer
    planes para garantizar la seguridad de la información de la organización
    1.1 Principios básicos de un Sistema de Seguridad de la Información (SGSI)

    Los equipos de seguridad de la información (SI) precisan adaptarse rápidamente a los


    requisitos nuevos necesarios para las empresas para que, al mismo tiempo, estén
    preparadas para lidiar con un ambiente que es cada vez más hostil

    Es necesario ser capaz de ofrecer seguridad y disponibilidad a los usuarios para que
    accedan a sus datos, a la red corporativa desde donde se encuentren y a través del
    dispositivo que prefieran, para sobrevivir al nuevo normal y destacarse en el mercado.
    Por lo tanto, los profesionales del área deben aprender a trabajar con las últimas
    tendencias de tecnología para conseguir definir y mantener la protección de todo el
    sistema corporativo.

    Para que sea posible mantener la protección ante las amenazas internas y externas,
    existen algunos principios de seguridad de la información, que son: la confidencialidad,
    integridad, disponibilidad y autenticidad. Cada uno de ellos tiene un papel diferente
    dentro de la empresa, que exige que se tomen acciones puntuales para mantenerlas
    siempre presentes.
    Autenticidad
    Ese principio garantiza
    veracidad de autoría de la
    información. Sin embargo, no
    garantiza la veracidad del
    contenido de la información.

    Confidencialidad
    Disponibilidad La confidencialidad, en el
    contexto de seguridad de la
    La disponibilidad de la
    información, es la garantía de
    información es
    importantísima; porque el Principios que determinada
    información, fuente o
    negocio puede depender de
    sistema esté disponible solo a
    la disponibilidad de sus datos 
    personas previamente
    autorizadas.

    Integridad
    Cuando las empresas
    lidian con datos, uno
    de sus mayores
    deberes es
    mantenerlos intactos,
    de manera que se
    preserve su
    originalidad y
    confiabilidad

    1.2 Alcance de la Norma ISO 27001

    Según el autor Julián (2019)

    De acuerdo con las categorías de la norma ISO 27001 y controles de Anexo A


    27002, en cumplimiento con el DS 5 Gestionar los servicios de seguridad desde
    las perspectiva del AP12 Evaluar y Administrar los Riesgos de TI Y AP 13
    Gestionar la seguridad (Cobit 5), se llevará a cabo un diagnóstico basado en el
    análisis de la documentación de la seguridad existente y entrevistas con
    diferentes representantes de la institución, con los cuales se analizará la
    implementación y gestión de controles de seguridad de la información con sus
    respectivos procesos, personas y tecnologías que dan apoyo al control, una vez
    obtenida la información se tabulará y se determinarán hallazgos y
    oportunidades de mejora para ajustarlos y normarlos.(p.102)

    1.3 Contexto de la organización

    Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO


    (International Organization for Standardization) e IEC (International Electrotechnical
    Commission), que proporcionan un marco de gestión de la seguridad de la información
    utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

    Esta norma proporciona una visión general de las normas que componen la serie
    27000, indicando para cada una de ellas su alcance de actuación y el propósito de su
    publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las
    bases de por qué es importante la implantación de un SGSI, una introducción a los
    Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos
    para el establecimiento, monitorización, mantenimiento y mejora de un SGSI.

    1.4 Definición de un plan de tratamiento de riesgos

    Plan de tratamiento de riesgos: Documento que define las acciones para


    gestionar los riesgos inaceptables en el marco de la seguridad de la información e
    implantar los controles necesarios para proteger la misma. (ISOTools, 2019)

    1.5 Implementación de controles.

    Con el objetivo de que cada riesgo identificado previamente quede cubierto y


    pueda ser auditable, la norma ISO 27001 establece en su última versión: ISO/IEC
    27001:2013 hasta 113 controles en un SGSI (en la versión anterior del 2005 eran 133).

    Los 113 controles en un SGSI están divididos por grandes objetivos:

     Políticas de seguridad de la información.


     Controles operacionales.

    Cada empresa, según su parecer, puede añadir más puntos de control si lo


    considera conveniente, así como personalizarlos para adaptarlos a su propio Plan de
    Control Operacional, pero siempre deben estar alineados a lo que pide la norma.
    Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema
    de mejora, en el que se tengan en cuenta las distintas consecuencias potenciales de esos
    riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con
    objetividad las diferentes amenazas.

    Eliminar el Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro
    la propia continuidad de la organización, ésta debe poner todos los

    riego
    medios para tratar de eliminarlo, de manera que haya una posibilidad
    cero de que la amenaza se llegue realmente a producir.

    Mitigarlo
    En la gran mayoría de ocasiones no es posible llegar a la eliminación
    total del riesgo, ya sea porque es imposible técnicamente o bien porque
    la empresa decida que no es un riesgo suficientemente crítico. 

    Trasladarlo
    Esta opción está relacionada con la contratación de algún tipo de
    seguro que compense las consecuencias económicas de una pérdida o
    deterioro de la información
    Referencias

    ISOTools. (2019). Definición del riesgo empresarial y principales tipos. Software ISO.
    Recuperado de https://www.isotools.org/2019/08/12/definicion-del-riesgos-
    empresarialesy-principales-tipos/

    Julián GL. (2019). ¿Qué es la ciberseguridad? Aprende a reforzar tu seguridad


    informática con estas clave y consejos. CiberPatrulla. Recuperado de
    https://ciberpatrulla.com/que-es-laciberseguridad/

    También podría gustarte