Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Primer Clase

    Cargado por

    Diego Andres Rodriguez
    14 vistas14 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas14 páginas

    Primer Clase

    Cargado por

    Diego Andres Rodriguez

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 14

    SISTEMAS DE GESTION

    DE SEGURIDAD
    INFORMATICA
    Ing. Gustavo Enrique Tabares Parra
    Conceptos previos
    Información como activo

    Según la norma ISO 27000, la información se constituye un activo de las entidades, organizaciones
    o empresas cualquiera sea su tamaño o función social. Definirse como activo, requiere hacer
    una medida de valoración que en este caso es proporcional al impacto de su pérdida o
    manipulación mal intencionada.

    La información está constituida de datos, estos permiten identificar elementos o personas y


    componen una serie de sistemas que permiten el funcionamiento de la organización.
    Conceptos previos
    Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad
    y disponibilidad de la información; adicionalmente autenticidad, responsabilidad,
    no repudio y confiabilidad.

    SGSI.- La parte del Sistema de gestión Global, basada en una orientación a riesgo de
    negocio, para establecer, implementar, operar, monitorear, revisar, mantener y
    mejorar la seguridad de la información.

    Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)

    Amenaza.- Evento que puede provocar un incidente en la organización produciendo


    daños o pérdidas materiales y/o inmateriales

    Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias


    externas.
    Tendencias
    Aspectos conceptuales
    Cabe la Pregunta:

    ¿ A quien compete la Seguridad de la Información en una


    organización: ?

    Gestores de la organización

    Contralores, auditores internos

    Personal de TI

    Personal en general
    Aspectos conceptuales
    Misión:

    Detectar que se debe proteger

    Detectar nuestras debilidades

    Proponer controles

    Implementar controles

    Medir el desempeño de los controles


    ¿Qué es ISO/IEC 27000?
    Familia de estándares ISO orientados a la Seguridad de Información
    ISO 27000: Conceptos y definiciones que soportan a la familia.
    Integrantes
     ISO /IEC 27001
     ISO /IEC 27002
     ISO/IEC 27003: Guía de Implementación siguiendo PHVA
     ISO/IEC 27004: Estándar para Métricas y Mediciones de Gestión de Seguridad de
    Información
     ISO/IEC 27005: Estándar de Gestión de Riesgos de Seguridad de información (BS-
    7799:3)
     ISO/IEC 27006: Guía para la recuperación ante desastres de servicios tecnológicos de
    información y comunicación”
    Gestión de Riesgos de la
    Información
    ¿POR QUÉ GESTIÓN DE RIESGOS DE LA
    INFORMACIÓN?
     Necesidad de Proteger la Información
     Sin embargo, esto puede generar:
     Crecimiento de cantidad y complejidad de los controles
     Pérdida del foco de actividades (Seguridad v/s Negocio)
     Por otra parte, requiere:
     Mediciones del impacto producido por los controles en seguridad
     Aplicar un criterio de negocios
    Cual escoger
    Depende de cual sea el objetivo
     Orientada a Procesos
     ISO 9001:2000
     ISO/IEC 27001
     CMM
     ITIL
     ISM3
     Orientada a Controles
     ISO 13335-4
     BSI-ITPM
     Orientada a Productos
     Common Criteria
     Orientada al Análisis de Riesgos
     OCTAVE
     Magerit
    Los principios fundamentales que contribuyen a la exitosa
    implementación de un SGSI son:

    1. Entender la organización, su contexto y los elementos relevantes que podrían afectar a los
    objetivos del SGSI.
    2. Entender las necesidades de las partes interesadas.
    3. La asignación de responsabilidades y liderazgo para la seguridad de la información.
    4. La formación y concienciación en seguridad de la información.
    5. El compromiso y liderazgo de la Dirección.
    6. Las evaluaciones de riesgos para determinar el estado actual y las estrategias adecuadas para
    asumir, transferir, evitar y/o reducir el riesgo para alcanzar los niveles aceptables de riesgo.
    7. La seguridad incorporada como un elemento esencial de las redes y sistemas de información.
    8. La prevención activa y detección de incidentes de seguridad de la información.
    9. Asegurar un enfoque integral de gestión de seguridad de la información.
    10. Una reevaluación regular de la seguridad de la información y la aplicación de modificaciones
    según sea apropiado.
    11. Un enfoque de mejora continua.
    Definición de Sistema de Gestión de Seguridad
    Informática (SGSI)

    El SGSI es un proceso sistemático, protocolizado y manejado por todos los miembros


    de la empresa que permite la confiabilidad, integridad y disponibilidad de la
    información de la misma.
    Pilares de la seguridad de la información

    También podría gustarte