Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un Sistema de Gestin de la seguridad de la Informacin (SGSI) es, como el nombre lo sugiere, un conjunto de polticas de administracin de la informacin. El trmino es utilizado principalmente por la ISO/IEC 27001. El trmino se denomina en Management System" (ISMS). Ingls "Information Security
El concepto clave de un SGSI es para una organizacin del diseo, implantacin, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la informacin.
15/04/2013
(EISA Enterprise Information Security Architecture) es una parte de la arquitectura de la empresa que se centra en la seguridad de la informacin a lo largo de la empresa.
15/04/2013
15/04/2013
La ISO/IEC 27001 por lo tanto incorpora el tpico "Plan-Do-CheckAct" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de seguridad de la informacin y la seleccin de controles adecuados. Do (hacer): es una fase que envuelve la implantacin y operacin de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a mximo rendimiento. La mejor definicin de SGSI ISO/IEC 27002 y relaciona International Organization International Electrotechnical es descrito por la ISO/IEC 27001 y los estndares publicados por la for Standardization (ISO) y la Commission (IEC).
15/04/2013 4
15/04/2013
SOGP : Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es ms una "best practice" (buenas prcticas), basado en las experiencias del ISF. ISM3 : Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas de proceso.
Otros marcos de trabajo: En el caso de COBIT , los controles son an ms amplios que en la ISO-IEC 27001. En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad. PRINCE2 es otro marco de trabajo de buenas prcticas, en este caso relacionadas con la gestin de proyectos.
Curso: Seguridad de Sistemas 15/04/2013 6
Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un Sistema de Seguridad Integral Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."
15/04/2013
la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal:
15/04/2013
Aplicacin
archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema:
Consideracin
ambientales)
15/04/2013
Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Dotacin de Recursos
Sensibilizar a los ejecutivos de la organizacin en torno al tema
de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
15/04/2013
10
Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Plan de Seguridad Ideal (o Normativo)
El plan de seguridad debe asegurar la integridad y exactitud de
los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia
15/04/2013
11
Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Capacitacin General tica y Cultura Capacitacin de Tcnicos
15/04/2013
12
Sistema de Gestin de la Seguridad de la Informacin Consideraciones para Desarrollar un SGSI (cont.) Beneficios de la Implementacin Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.
15/04/2013
13