Está en la página 1de 15

Sistema de Gestin de

la Seguridad de la
Informacin

Seguridad de la
Informacin
La Seguridad de la informacin tiene tres
aspectos bsicos que son esenciales para el
crecimiento del negocio, el cumplimiento de la
legalidad vigente y la imagen de la propia
empresa:
Confidencialidad,
integridad
y
disponibilidad.

Estndares relacionados
COBIT:
Objetivos de control para la
informacin y tecnologa relacionadas.
Creada por ISACA y gestionada por ITGI (IT
Governance Institute)
ITIL:
Biblioteca
de
Infraestructura
de
Tecnologas de Informacin.
Creada
por
la
oficina
de
comercio
gubernamental.

Estndares relacionados
ISO/ IEC 27002:2013: Gestin de Riesgos en
Sistema de informacin.
ISO/ IEC 20000: Sistema de Gestin de
Servicios de TI.
Creadas por la ISO (International Standard
Organization).
Para que la organizacin se certifique en la ISO/
IEC 20000 es necesario seguir los lineamientos
establecidos en el ITIL.

Familia ISO 27000


ISO 27000. Fundamentos y vocabulario.
ISO 27001: Requisitos de los Sistemas de Gestin de
Seguridad de la
Informacin.
ISO 27002: Buenas prcticas para la Gestin de Seguridad de
la Informacin (Anterior ISO 17799:2005).
ISO 27003. Gua de implantacin de un SGSI (publicacin
pendiente).
ISO 27004. Metricas e indicadores de eficiencia y efectividad
de los controles. (publicacin pendiente).
ISO 27005. Gestin del riesgo en Seguridad de la informacin.
(publicacin pendiente).
ISO 27006. Requisitos de acreditacin de las entidades de
certificacin de SGSI.

ISO/ IEC 27001:2013

Introduccin

La ISO 27001, Sistemas de Gestin de


Seguridad de la Informacin es la norma que
especifica los requisitos para planificar,
implantar, revisar y mejorar un sistema de
gestin de seguridad de la informacin
garantizando la confidencialidad, integridad y
disponibilidad de la infor- macin, as como de
los sistemas que la procesan.

Objetivo

El objetivo principal de la implantacin de un


SGSI: es el control y mitigacin de los riesgos
de seguridad de la informacin a los que se
encuentra expuesta la organizacin y que
pueden afectar gravemente a la empresa y a
su entorno.

Estructura

0. Introduccin.
1. Objeto y campo de Aplicacin.
2. Normas para consulta
3. Terminos y Definiciones
4. Sistema de Gestin de Seguridad de la
Informacin
4.1 Requisitos generales

Estructura

4.2 Creacin y gestin del SGSI


4.2.1 Creacin del SGSI
4.2.2 Implementacin y operacin del SGSI
4.2.3 Supervisin y revisin del SGSI
4.2.4 Mantenimiento y mejora del SGSI
4.3 Requisitos de la documentacin
4.3.1 Generalidades

Estructura
5.
6.
7.
8.

Responsabilidad de la Direccin
Auditoras Internas del SGSI
Revisin del SGSI por la Direccin
Mejora del SGSI.

Diseo e Implementacin
de la
ISO/ IEC 27001

Definicin del alcance del SGSI


Definicin de una Poltica de Seguridad
Definicin de una metodologa y criterios para el Anlisis y
Gestin del Riesgo
Identificacin de riesgos
Evaluacin de los posibles tratamientos del riesgo
Elaboracin de un Declaracin de Aplicabilidad de controles y
requisitos
Desarrollo de un Plan de Tratamiento de Riesgos
Definicin de metricas e indicadores de la eficiencia de los
controles
Desarrollo de programas de formacin y concienciacin en
seguridad de la informacin
Gestin de recursos y operaciones
Gestin de incidencias
Elaboracin de procedimientos y documentacin asociada

Ciclo PDCA

Ventajas
Garantizar la confidencialidad, integridad y disponibilidad
de informacin sensible.
Disminuir el riesgo, con la consiguiente reduccin de
gastos asociados.
Reducir la incertidumbre por el conocimiento de los
riesgos e impactos asociados.
Mejorar continuamente la gestin de la seguridad de la
informacin.
Garantizar la continuidad del negocio.
Aumento de la competitividad por mejora de la imagen
corporativa.
Incremento de la confianza de los stakeholders. Aumento
de la rentabilidad, derivado de un control de los riesgos.

Ventajas
Aumentar las oportunidades de negocio.
Reducir los costos asociados a los incidentes.
Mejorar la implicacin y participacin del
personal en la gestin de la seguridad.
Posibilidad de integracin con otros sistemas
de gestin como ISO 9001, ISO14001,
OHSAS 18001, entre otros.
Mejorar los procesos y servicios prestados.