Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DEL CARCHI
REDES DE COMPUTADORAS ll
Profesor:
Hidalgo Guijarro Jairo Vladimir
Autor:
Jairo Andres Cabrera 22/05/2019
Esquema Gubernamental de Seguridad de la
Información (EGSI)
El 19 de septiembre de 2013 se emitió el Acuerdo Ministerial No. 166, publicado
mediante Registro Oficial No. 88 del 25 de septiembre de 2013, que dispone que las
entidades de la Administración Pública Central, Institucional y Dependiente de la
Función Ejecutiva (APCID), la implementación del Esquema Gubernamental de
Seguridad de la Información EGSI, Norma Técnica Ecuatoriana INEN ISO/IEC 27002
“Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”.
Artículos mas relevantes
Que, las Tecnologías de la Información y Comunicación son herramientas imprescindibles para el
cumplimiento de la gestión institucional e interinstitucional de la Administración Pública en tal
virtud, deben cumplir con estándares de seguridad que garanticen la confidencialidad, integridad y
disponibilidad de la información;
Justificación
El EGSI reduciré significativamente amenazas, riesgos, vulnerabilidades
relacionadas a la gestión de la información. tanto física como electrónica que
procesa la institución
Objetivos
• La implantación de una ISO 27000 en una organización permite proteger la
información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:
Preservar la confidencialidad de los datos de la empresa
Conservar la integridad de estos datos
Hacer que la información protegida se encuentre disponible.
Normas ISO/IEC 27000
Esta norma internacional proporciona los requisitos para establecer, implementar, mantener y
mejorar continuamente un sistema de gestión de seguridad de la información.
TEMAS PRIMORDIALES DE LA NORMA
• políticas de seguridad de la información
• Organización de la seguridad de la información
• Gestión de los activos
• Seguridad de los recursos humanos
• Seguridad física y del entorno Gestión de comunicaciones y operaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información
• Gestión de incidentes de la seguridad de la información
POLITICAS CLAVE
• El equipo de cómputo asignado y el servicio de
internet deberá ser para uso exclusivo de las
funciones asignadas al usuario de FEEP Filial
Norte
• Desconectar al final de la jornada de trabajo.
todos los bienes eléctricos y electrónicos que
están a su cargo S debe evitar el uso dispositivos
de almacenamiento portátiles externos a la
institución como pendrives. CDS o DVDs que no
hayan sido revisados por el área de TI Cs
• Mientras se opera el equipo de cómputo, no se
deberán consumir alimentos o ingerir líquidos
• Mantenga a las personas no autorizadas y
desconocidas lejos de su equipo
ISO 27001
• ISO/IEC 27001 se divide en 11 secciones; las secciones 0
a 3 son introductorias, mientras que las secciones 4 a 10
son obligatorias, lo que implica que una organización
debe implementar todos sus requerimientos si quiere
cumplir con la norma.
• Sección 0 – Introducción – explica el objetivo de ISO
27001 y su compatibilidad con otras normas de gestión.
• Sección 1 – Alcance – explica que esta norma es
aplicable a cualquier tipo de organización.
• Sección 2 – Referencias normativas – hace referencia a
la norma ISO/IEC 27000 como estándar en el que se
proporcionan términos y definiciones.
• Sección 3 – Términos y definiciones – de nuevo, hace
referencia a la norma ISO/IEC 27000.
• Sección 4 – Contexto de la organización – esta sección es parte de la fase de
Planificación del ciclo PDCA (Planificar, Hacer, Verificar y Actuar) y define los
requerimientos para comprender cuestiones externas e internas, también define
las partes interesadas, sus requisitos y el alcance del SGSI.
• Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la
información.
• Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de
riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la
determinación de los objetivos de seguridad de la información.
• Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y control de documentos y
registros.
• Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación
del ciclo PDCA y define la implementación de la evaluación y el tratamiento de
riesgos, como también los controles y demás procesos necesarios para cumplir
los objetivos de seguridad de la información.
• Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de
Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición,
análisis, evaluación, auditoría interna y revisión por parte de la dirección.
• Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Norma ISO 27002
• La norma ISO 27002 (anteriormente denominada ISO 17799) es un estándar
para la seguridad de la información que ha publicado la organización
internacional de normalización y la comisión electrotécnica internacional. La
versión más reciente de la norma ISO 27002:2013.
• La norma ISO 27002 proporciona diferentes recomendaciones de las mejores
prácticas en la gestión de la seguridad de la información a todos los
interesados y responsables para iniciar, implementar o mantener sistemas
de gestión de la seguridad de la información.
Actividades de control del riesgo
• La política para la seguridad de la información: se tiene que definir un
conjunto de políticas para la seguridad de la información, esto se aprobó por
la dirección de la organización, se publica y comunica a todos los empleados
así como a todas las partes externas relevantes.
• Revisión de las políticas para la seguridad de la información: las
políticas para la seguridad de la información se debe planificar y revisar con
regularidad o si ocurren cambios significativos para garantizar su idoneidad,
adecuación y efectividad.