Sistema de Gestin de la Seguridad de la Informacin

Un Sistema de Gestin de la seguridad de la Informacin (SGSI) es, como el nombre lo sugiere, un conjunto de polticas de administracin de la informacin. El trmino es utilizado principalmente por la ISO/IEC 27001. El trmino se denomina en Management System" (ISMS). Ingls "Information Security

El concepto clave de un SGSI es para una organizacin del diseo, implantacin, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la informacin.

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Arquitectura de Seguridad de Informacin en la Empresa

(EISA Enterprise Information Security Architecture) es una parte de la arquitectura de la empresa que se centra en la seguridad de la informacin a lo largo de la empresa.

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Arquitecturas de Negocio

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Crculo de Deming

La ISO/IEC 27001 por lo tanto incorpora el tpico "Plan-Do-CheckAct" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de seguridad de la informacin y la seleccin de controles adecuados. Do (hacer): es una fase que envuelve la implantacin y operacin de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a mximo rendimiento. La mejor definicin de SGSI ISO/IEC 27002 y relaciona International Organization International Electrotechnical es descrito por la ISO/IEC 27001 y los estndares publicados por la for Standardization (ISO) y la Commission (IEC).
15/04/2013 4

Curso: Seguridad de Sistemas

Sistema de Gestin de la Seguridad de la Informacin Crculo de Deming

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Otros SGSI

SOGP : Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es ms una "best practice" (buenas prcticas), basado en las experiencias del ISF. ISM3 : Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas de proceso.
Otros marcos de trabajo: En el caso de COBIT , los controles son an ms amplios que en la ISO-IEC 27001. En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad. PRINCE2 es otro marco de trabajo de buenas prcticas, en este caso relacionadas con la gestin de proyectos.
Curso: Seguridad de Sistemas 15/04/2013 6

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un Sistema de Seguridad Integral Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI

Un sistema integral debe contemplar:
Definir elementos administrativos Definir polticas de seguridad

A nivel departamental A nivel institucional

Organizar y dividir las responsabilidades

Contemplar

la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal:

- Plan de emergencia (plan de evacuacin, uso de recursos

de emergencia como extinguidores.

Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros

Definir elementos tcnicos de procedimientos

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.)

Definir las necesidades de sistemas de seguridad para:

Hardware y software Flujo de energa Cableados locales y externos

Aplicacin

archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema:

de los sistemas de seguridad incluyendo datos y

Poltica de destruccin de basura copias, fotocopias, etc.

Consideracin

ambientales)

de las normas ISO 14000 (Normativas medio-

Curso: Seguridad de Sistemas

15/04/2013

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Dotacin de Recursos
Sensibilizar a los ejecutivos de la organizacin en torno al tema

de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

Curso: Seguridad de Sistemas

15/04/2013

10

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Plan de Seguridad Ideal (o Normativo)
El plan de seguridad debe asegurar la integridad y exactitud de

los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia

Curso: Seguridad de Sistemas

15/04/2013

11

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Capacitacin General tica y Cultura Capacitacin de Tcnicos

Curso: Seguridad de Sistemas

15/04/2013

12

Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Beneficios de la Implementacin Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

Curso: Seguridad de Sistemas

15/04/2013

13