Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • SGSI

    Cargado por

    Alfonzo
    44 vistas10 páginas
    Sistemas de gestión de seguridad informática

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Sistemas de gestión de seguridad informática

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    44 vistas10 páginas

    SGSI

    Cargado por

    Alfonzo
    Sistemas de gestión de seguridad informática

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    SISTEMAS DE GESTION DE

    LA SEGURIDAD DE LA
    INFORMACION (SGSI)

    UNIV. MONTES ISNADO RAUL

    UNIV. SALAS TORREZ RAUL ALFREDO


    ¿QUE ES EL SISTEMA DE GESTIÓN DE LA
    SEGURIDAD DE LA INFORMACIÓN?
    • Es un conjunto de políticas de administración de la información para la
    implantación y el mantenimiento de un conjunto de procesos para la gestión y
    así asegurar la confidencialidad, integridad y disponibilidad de los activos
    de información minimizando a la vez los riesgos de seguridad de la
    información.
    FUNDAMENTOS

    • El término SGSI es utilizado principalmente por la ISO 27001, aunque no es


    la única normativa que utiliza este término o concepto.
    • Para garantizar que la seguridad de la información es gestionada
    correctamente se debe identificar inicialmente su ciclo de vida y los aspectos
    relevantes adoptados para garantizar su C-I-D (CONFIABILIDAD,
    INTEGRIDAD, DISPONIBILIDAD).
    PDCA (PLAN, DO, CHECK, ACT)

    • La ISO/IEC 27001 por lo tanto


    incorpora el típico Plan-Do- Check-
    Act (PDCA) que significa "Planificar-
    Desarrollar- Verificar-Actuar"
    • Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de
    riesgos de seguridad de la información y la selección de controles adecuados .
    • Do (hacer): es una fase que envuelve la implantación y operación de los controles.
    • Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
    desempeño (eficiencia y eficacia) del SGSI.
    • Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de
    vuelta el SGSI a máximo rendimiento.

    • SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares
    publicados por la International Organization for Standardization (ISO) y la
    International Electrotechnical Commission (IEC). JJO también define normas
    estandarizadas de distintos SGSI.
    ESTANDARES SGSI ACTUALES

    INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL)

    • Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990.
    • Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la
    información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar
    a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
    • Contiene una sección específicamente titulada «Gestión de Servicios de TI» (la combinación de los volúmenes de
    Servicio de Soporte y Prestación de Servicios, que son un ejemplo específico de un marco ITSM), pero sin embargo es
    importante señalar que existen otros marcos parecidos. La Gestión de Servicio ITIL está actualmente integrado en el
    estándar ISO 20000 (anterior BS 15000).
    • Sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de
    fallos o modificaciones necesarias, es soportado por mantenimiento y operaciones.
    CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT)
    OBJETIVOS DE CONTROL PARA TECNOLOGÍAS DE LA INFORMACIÓN Y RELACIONADAS

    • Es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la
    información (TI). Mantenida por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT
    Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI,
    incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su
    implementación y principalmente, una guía de técnicas de gestión.

    • La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente
    aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e
    internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores,
    y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de
    la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías
    mediante el desarrollo de un modelo de administración de las tecnologías de la información.
    STANDARD OF GOOD PRACTICE FOR INFORMATION SECURITY (SOGP)
    ESTÁNDAR DE BUENAS PRÁCTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

    • Es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of
    Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las
    experiencias del Foro de la seguridad de la información (ISF).
    • Ademas de proporcionar una herramienta para habilitar la certificación ISO 27001, la Norma
    2011 proporciona una cobertura completa de los temas de COBIT v4, y ofrece una alineación
    sustancial con otras normas y legislación relevantes, como PCI DSS y la Ley Sarbanes Oxley , para
    permitir el cumplimiento de estas normas también .
    • Está alineado con los requisitos para un sistema de gestión de seguridad de la información (ISMS)
    establecido en estándares de la serie ISO / IEC 27000 , y proporciona una cobertura más amplia
    y profunda de temas de control ISO / IEC 27002 , así como computación en la nube, filtración de
    información , dispositivos de consumo y gobierno de la seguridad.
    INFORMATION SECURITY MANAGEMENT MATURITY MODEL (ISM3)
    MODELO DE MADUREZ DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

    • Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan
    incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de
    seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación
    que permite a una organización autoevaluar su madurez
    • Pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de
    buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la
    consecución de objetivos de negocio.
    • Se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los
    cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.
    • ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen
    experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC.
    • Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir
    que se puede usar ISM3 para implementar un SGSI basado en ISO 27001.
    GRACIAS POR SU ATENCION

    También podría gustarte