Sistemas de Gestin de la - PowerPoint PPT Presentation

1 / 17
About This Presentation
Title:

Sistemas de Gestin de la

Description:

... realizar un producto/servicio conforme a unas especificaciones dadas. ... Incorpora un proceso de revisi n para asegurar que los problemas que puedan ... – PowerPoint PPT presentation

Number of Views:76
Avg rating:3.0/5.0
Slides: 18
Provided by: aibauditor
Category:
Tags: dadas | gestin | sistemas

less

Transcript and Presenter's Notes

Title: Sistemas de Gestin de la


1
  • Sistemas de Gestión de la
  • Seguridad de la Información
  • UNE-ISO/IEC 27001

Iván Guardia Hernández
2
Tecnologías de la Información y la Comunicación
3
Sistemas de Gestión
  • Establece e Implanta unos procesos que permiten a
    una organización realizar un producto/servicio
    conforme a unas especificaciones dadas.
  • Mide y Evalúa los resultados obtenidos frente a
    los objetivos marcados.
  • Incorpora un proceso de revisión para asegurar
    que los problemas que puedan surgir se detectan y
    se corrigen, y que permite identificar
    oportunidades de mejora.
  • UNE-EN ISO 9001. Sistemas de Gestión de la
    Calidad.
  • UNE-EN ISO 14001. Sistemas de Gestión Ambiental.

4
Plan Do Check - Act
5
SGSISistemas de Gestión de la Seguridad de la
Información
  • Un SGSI es un sistema de gestión que comprende la
    política, la estructura organizativa, los
    procedimientos, los procesos y los recursos
    necesarios para implantar la gestión de la
    seguridad de la información
  • Por seguridad de la información, se entiende
    principalmente por la preservación de las
    características de confidencialidad, integridad y
    disponibilidad de la misma. Adicionalmente,
    pueden considerarse otras propiedades, como
    autenticación, no repudio o auditabilidad.
  • Implantar un SGSI no prueba que una organización
    sea 100 segura. Aunque la seguridad completa no
    exista, sí que se puede certificar su correcta
    gestión.

6
SGSI
Compromiso demostrar la eficacia de los
esfuerzos desarrollados para asegurar la
organización en todos sus niveles y probar la
diligencia razonable de sus administradores. Conf
ormidad con requisitos legales el registro
permite demostrar que la organización observa
todas las leyes y normativas aplicables al
alcance. Gestión de los riesgos obtención de
un mejor conocimiento de los sistemas de
información, sus debilidades y los medios de
protección. Garantiza también una mejor
disponibilidad de los materiales y
datos. Credibilidad y confianza los socios, los
accionistas y los clientes se tranquilizan al
constatar la importancia que la organización
concede a la protección de la información. Una
certificación también puede brindar una
diferenciación sobre la competencia y en el
mercado. Reducción de los costes vinculados a
los incidentes y posibilidad de disminución de
las primas de seguro. Mejora la sensibilización
del personal hacia la seguridad y a sus
responsabilidades en la organización.
7
Análisis de Riesgos
8
27001
  • Tecnología de la información. Técnicas de
    seguridad. Sistemas de Gestión de la Seguridad de
    la Información (SGSI). Requisitos.
  • La certificación UNE-ISO/IEC 27001 avala la
    adecuada implantación, gestión y operación de
    todo lo relacionado con la implantación de un
    SGSI, siendo la norma más completa que existe en
    lo relativo a la implantación de controles, que
    permiten establecer un marco adecuado de gestión
    de la seguridad de la información para las
    organizaciones.
  • Sustituye a la BS 7799-2 y a la UNE 71502.
  • Los requisitos de la Norma UNE-ISO/IEC 27001 son
    complementarios a los de cualquier otro sistema
    de gestión implantado, tal como gestión de la
    calidad ISO 9001 o gestión medioambiental ISO
    14001.

9
Dominios
  • Política de seguridad.
  • Aspectos organizativos para la seguridad.
  • Clasificación y control de activos.
  • Seguridad ligada al personal.
  • Seguridad física y del entorno.
  • Gestión de comunicaciones y operaciones.
  • Control de accesos.
  • Desarrollo y mantenimiento de sistemas.
  • Gestión de incidentes de seguridad de la
    información.
  • Gestión de continuidad de negocio.

10
ISO27000.es
11
Implantación SGSI
12
Fases implantación
  • 1. Compromiso de la Dirección una de las bases
  • fundamentales sobre las que iniciar un
    proyecto
  • de este tipo es el apoyo claro y decidido de
    la
  • Dirección de la organización.
  • 2. Planificación, fechas, responsables como en
    todo proyecto de envergadura, el tiempo y el
    esfuerzo invertidos en esta fase multiplican sus
    efectos positivos sobre el resto de fases.
  • 3. Definir alcance del SGSI según el modelo
    organizativo, definir los límites del marco de
    dirección de seguridad de la información.
  • 4. Definir política de seguridad que incluya el
    marco general y los objetivos de seguridad de la
    información de la organización.

13
Fases implantación
5. Inventario de activos todos aquellos
afectados por la seguridad de la
información. 6. Identificar amenazas y
vulnerabilidades todas las que afectan a
los activos del inventario. 7. Análisis de
riesgos evaluar el daño resultante de un fallo
de seguridad y la probabilidad de ocurrencia del
fallo. 8. Selección de controles. 9. Definir
plan de tratamiento de riesgos que identifique
las acciones, sus responsables y las prioridades
en la gestión de los riesgos. 10. Implantar plan
de tratamiento de riesgos con la meta de
alcanzar los objetivos de control identificados.
14
Fases implantación
11. Implementar los controles todos los que se
determinaron en la fase anterior. 12.
Formación y concienciación de todo el personal
en lo relativo a la seguridad de la
información. 13. Desarrollo del marco normativo
necesario normas, manuales, procedimientos e
instrucciones. 14. Gestionar todos los recursos
asignados al SGSI. 15. Revisar el SGSI
Identificar mejoras al proceso del SGSI,
identificar nuevas vulnerabilidades, revisar
cambios organizativos y modificar
procedimientos. 16 .Realizar auditorías internas
del SGSI para determinar la efectividad del SGSI
y detectar posibles no conformidades.
15
Proyectos y Salvaguardas
16
Factores Críticos de Éxito
La concienciación del empleado por la
seguridad. Principal objetivo a conseguir.
Realización de comités de dirección con
descubrimiento continuo de No conformidades o
acciones de mejora. Creación de un sistema de
gestión de incidencias que recoja
notificaciones continuas por parte de los
usuarios (los incidentes de seguridad deben
ser reportados y analizados). La seguridad
absoluta no existe, se trata de reducir el riesgo
a niveles asumibles. La seguridad no es un
producto, es un proceso. La seguridad no es un
proyecto, es una actividad continua y el programa
de protección requiere el soporte de la
organización para tener éxito. La seguridad
debe ser inherente a los procesos del negocio.
17
Qué está fallando?
Iván Guardia Hernández Auditor CISA CISSP
AENOR
Write a Comment
User Comments (0)
About PowerShow.com