SlideShare ist ein Scribd-Unternehmen logo

SGSI: Sistema de gestión de seguridad de la información

Als PPTX, PDF herunterladen
H
Heissel21

Este documento presenta los conceptos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica que un SGSI establece, implementa, monitorea y mejora la seguridad de la información a través de una estructura de políticas, actividades y procedimientos. También describe los pasos clave para establecer un SGSI, incluida la definición del alcance, la identificación de activos, el análisis de riesgos y la selección de

Software
1 von 20
PRESENTADO POR: HEIDY GISSEL VILLATORO ORELLANA /20132007560 ING. GUILLERMO BRAND SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNAH-VS / INFORMATICA ADMINISTRATIVA / ADMINISTRACIÓN PÚBLICA Y POLÍTICA INFORMÁTICA
SGSI • El sistema de gestión de seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: • Establecer, • Implementar, • Operar, • Monitorear, • Mantener y mejorar la seguridad de la información. • Incluye. • Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros.
La seguridad de información se caracteriza por la preservación de: SEGURIDAD DE LA INFORMACIÓN INTEGRIDAD CONFIDENCIALIDAD DISPONIBILIDAD DE INFORMACIÓN
Planificar /Hacer /Verificar /Actuar • Para establecer, implementar, monitorear y mejorar El SGSI adopta el siguiente modelo: PHVA Planificar Verificar Hacer Actuar Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas
CUERPO PRINCIPAL DE LA NORMA: Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorías internas del SGSI Revisión del SGSI por la dirección. Mejora del SGSI
NIVELESDEDOCUMENTACIÓNENELSISTEMA • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. POLITICAS PROCEDIMIENTOS REGISTROS
DOCUMENTACIÓNREQUERIDAPARA ESTABLECERLA NORMA Política de seguridad: Contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. Inventario de activos: Detallar los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. Análisis de riesgos: Con los riesgos identificados basándose en la política de la organización .
Nota: Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. Documento de aplicabilidad: La relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
Definición de la política de seguridad IDENTIFICAR LOS ACTIVOS Definición del enfoque del análisis IDENTIFICAR LOS RIESGOS ANALISAR LOS RIESGOS Definición del alcance TRATAR LOS RIESGOS ESTABLECER EL SGSI
Establecimiento del SGSI: Definición del alcance •Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad • Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Definición del enfoque del análisis de riesgos •El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
Identificación de los activos de información •El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero si es indispensable identificar que activos son los que soportan los procesos de la organización. Escoger la metodología del análisis de riesgos •Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuales son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con mas recursos y esfuerzos en los temas que mas lo necesitan.
TRATAMIENTO DE LOS RIESGOS: Mitigar el riesgo •Mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. Asumir el riesgo •La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo. Transferir el riesgo a un tercero •Asegurando el activo que tiene el riesgo o subcontratando el servicio.
Eliminar el riesgo •Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso. Transferir el riesgo a un tercero •La norma especifica que los controles deben ser seleccionados de entre los listados en el anexo A de la propia norma, es decir, los que la Norma UNE-ISO/IEC 27002 contiene. Gestión de riesgos: • El valor del riesgo obtenido será el riesgo actual, en función del que se determina el riesgo asumible por la organización, y se deciden las nuevas estrategias y acciones para reducir los riesgos que estén por encima de ese valor
LA PREPARACIÓNDE UNADECLARACIÓN DE APLICABILIDADDEBE INCLUIR Los objetivos de control y los controles seleccionados, con las razones de esta selección. Los objetivos de control y los controles actualmente implementados, con una justificación. La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión.
Implementación y puesta en marcha del SGSI •Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior. Control y revisión del SGSI •Forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mantenimiento y mejora del SGSI •Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas.
REQUISITOS DE LA DOCUMENTACIÓN Generalidades El SGSI debe contar con la documentació n necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Controldedocumentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro. Controlderegistros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos.
Compromisodeladirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección. Gestióndelosrecursos Hay que contar con las diversas tareas que implica el funcionamient o, la verificación y la mejora del sistema. Formación La norma exige que todos los trabajadores con responsabilida des definidas en el SGSI sean competentes para efectuar las actividades necesarias.
Auditoríasinternas Una de las herramientas mas interesantes para controlar el funcionamiento del SGSI son las auditorias internas. Estas auditorias deben programarse y prepararse regularmente, normalmente una vez al año. Revisiónporladirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mejoracontinua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo.
La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ACCIÓN CORRECTIVA ACCIÓN PREVENTIVA ACCIONES DE LA MEJORA CONTINUA Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad.
LA SEGURIDAD TOTAL NO EXISTE, PERO SÍ EXISTE LA GARANTÍA DE CALIDAD EN UN PROCESO DE SEGURIDAD SGSI

Empfohlen

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 

Empfohlen

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018Primala Sistema de Gestion
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001Augusto Chevez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001Marvin Joel Diaz Navarro
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001Mitcheel Matute
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcmsPrimala Sistema de Gestion
 
Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)Jose Ramirez
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestionjorge
 
Iso27001
Iso27001Iso27001
Iso27001ANDRULANCO2014
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Primala Sistema de Gestion
 
Iso27001
Iso27001Iso27001
Iso27001Gerard Flores
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 

Weitere ähnliche Inhalte

Was ist angesagt?

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018Primala Sistema de Gestion
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)Jose Ramirez
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestionjorge
 

Was ist angesagt? (18)

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)Normas ohsas-18001 prevencion de riesgos laborales (1)
Normas ohsas-18001 prevencion de riesgos laborales (1)
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Iso27001
Iso27001Iso27001
Iso27001
 

Ähnlich wie SGSI: Sistema de gestión de seguridad de la información

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.peponlondon
 

Ähnlich wie SGSI: Sistema de gestión de seguridad de la información (20)

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Politicas
PoliticasPoliticas
Politicas
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
SGSI
SGSISGSI
SGSI
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Claconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsi
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Irma iso
Irma isoIrma iso
Irma iso
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 

SGSI: Sistema de gestión de seguridad de la información

  • 1. PRESENTADO POR: HEIDY GISSEL VILLATORO ORELLANA /20132007560 ING. GUILLERMO BRAND SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNAH-VS / INFORMATICA ADMINISTRATIVA / ADMINISTRACIÓN PÚBLICA Y POLÍTICA INFORMÁTICA
  • 2. SGSI • El sistema de gestión de seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: • Establecer, • Implementar, • Operar, • Monitorear, • Mantener y mejorar la seguridad de la información. • Incluye. • Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros.
  • 3. La seguridad de información se caracteriza por la preservación de: SEGURIDAD DE LA INFORMACIÓN INTEGRIDAD CONFIDENCIALIDAD DISPONIBILIDAD DE INFORMACIÓN
  • 4. Planificar /Hacer /Verificar /Actuar • Para establecer, implementar, monitorear y mejorar El SGSI adopta el siguiente modelo: PHVA Planificar Verificar Hacer Actuar Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas
  • 5. CUERPO PRINCIPAL DE LA NORMA: Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorías internas del SGSI Revisión del SGSI por la dirección. Mejora del SGSI
  • 6. NIVELESDEDOCUMENTACIÓNENELSISTEMA • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. POLITICAS PROCEDIMIENTOS REGISTROS
  • 7. DOCUMENTACIÓNREQUERIDAPARA ESTABLECERLA NORMA Política de seguridad: Contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. Inventario de activos: Detallar los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. Análisis de riesgos: Con los riesgos identificados basándose en la política de la organización .
  • 8. Nota: Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. Documento de aplicabilidad: La relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 9. Definición de la política de seguridad IDENTIFICAR LOS ACTIVOS Definición del enfoque del análisis IDENTIFICAR LOS RIESGOS ANALISAR LOS RIESGOS Definición del alcance TRATAR LOS RIESGOS ESTABLECER EL SGSI
  • 10. Establecimiento del SGSI: Definición del alcance •Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad • Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Definición del enfoque del análisis de riesgos •El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
  • 11. Identificación de los activos de información •El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero si es indispensable identificar que activos son los que soportan los procesos de la organización. Escoger la metodología del análisis de riesgos •Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuales son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con mas recursos y esfuerzos en los temas que mas lo necesitan.
  • 12. TRATAMIENTO DE LOS RIESGOS: Mitigar el riesgo •Mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. Asumir el riesgo •La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo. Transferir el riesgo a un tercero •Asegurando el activo que tiene el riesgo o subcontratando el servicio.
  • 13. Eliminar el riesgo •Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso. Transferir el riesgo a un tercero •La norma especifica que los controles deben ser seleccionados de entre los listados en el anexo A de la propia norma, es decir, los que la Norma UNE-ISO/IEC 27002 contiene. Gestión de riesgos: • El valor del riesgo obtenido será el riesgo actual, en función del que se determina el riesgo asumible por la organización, y se deciden las nuevas estrategias y acciones para reducir los riesgos que estén por encima de ese valor
  • 14. LA PREPARACIÓNDE UNADECLARACIÓN DE APLICABILIDADDEBE INCLUIR Los objetivos de control y los controles seleccionados, con las razones de esta selección. Los objetivos de control y los controles actualmente implementados, con una justificación. La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión.
  • 15. Implementación y puesta en marcha del SGSI •Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior. Control y revisión del SGSI •Forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mantenimiento y mejora del SGSI •Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas.
  • 16. REQUISITOS DE LA DOCUMENTACIÓN Generalidades El SGSI debe contar con la documentació n necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Controldedocumentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro. Controlderegistros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos.
  • 17. Compromisodeladirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección. Gestióndelosrecursos Hay que contar con las diversas tareas que implica el funcionamient o, la verificación y la mejora del sistema. Formación La norma exige que todos los trabajadores con responsabilida des definidas en el SGSI sean competentes para efectuar las actividades necesarias.
  • 18. Auditoríasinternas Una de las herramientas mas interesantes para controlar el funcionamiento del SGSI son las auditorias internas. Estas auditorias deben programarse y prepararse regularmente, normalmente una vez al año. Revisiónporladirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mejoracontinua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo.
  • 19. La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ACCIÓN CORRECTIVA ACCIÓN PREVENTIVA ACCIONES DE LA MEJORA CONTINUA Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad.
  • 20. LA SEGURIDAD TOTAL NO EXISTE, PERO SÍ EXISTE LA GARANTÍA DE CALIDAD EN UN PROCESO DE SEGURIDAD SGSI