Title: Prezentacja programu PowerPoint
1SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN ISO 27001
Base de datos
2Qué es Información?
- Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la
incertidumbre o incrementar el conocimiento de
algo. - Information existe en diferentes formatos
- Capital Humano
- Impresa o escrita en papel
- Dispositivos de almacenamiento (Discos, CDs,
etc) - Oral (teléfono, móvil, etc.)
- Video, fotos
3La Información en las Empresas
- Dentro de una Empresa, la información es
considerada un Activo (un recurso) que tiene
valor o utilidad para sus operaciones comerciales
y su continuidad. Por esta razón, esta
información necesita tener protección para
asegurar una correcta operación del negocio y una
continuidad en sus operaciones.
4La Información en las Empresas
- Estos activos pueden ser clasificados de la
siguiente forma - Activos de Información (datos, manuales de
usuario, etc.) - Documentos en Papel (contratos)
- Activos de software (aplicación, software de
sistema, etc.) - Activos físicos (computadores, medios magnéticos,
etc.) - Personal (clientes, trabajadores)
- Imagen y reputación de la organización
- Servicios (comunicaciones, etc.)
5Qué es seguridad de la Información?
La seguridad de información se caracteriza por la
preservación de
Confidencialidad
Integridad
Disponibilidad de la información
6Identificación de Amenazas
Tipos de Amenazas
Amenazas Operacionales
Amenazas Humanas
Amenazas a Instalaciones
Amenazas Sociales
Amenazas Tecnológicas
Amenazas Naturales
7Vulnerabilidades
Tipos de Vulnerabilidades
Control de Acceso
Seguridad física y ambiental
Seguridad de los recursos humanos
Gestión operaciones y comunicación
Mantenimiento, desarrollo de Sist. de información
8Seguridad de la Información SGSI
9Seguridad de la Información ?
- La información es un activo que como otros
activos importantes tiene valor y requiere en
consecuencia una protección adecuada. - La información puede estar
- Impresa o escrita en papel.
- Almacenada electrónicamente.
- Trasmitida por correo o medios electrónicos
- Mostrada en filmes.
- Hablada en conversación.
- Debe protegerse adecuadamente cualquiera que sea
la forma que tome o los medios por los que se
comparte o almacene.
10Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- La información es un activo que, como otros
activos comerciales importantes, tiene valor para
la organización y, en consecuencia, necesita ser
protegido adecuadamente. - Un Sistema de Gestión de Seguridad de
Información (SGSI) es un sistema gerencial
general basado en un enfoque de riesgos para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información
11Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
12Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
13Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Planificar.
- Definir el enfoque de evaluación del riesgo de la
organización. - Establecer metodología de cálculo del riesgo.
- Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo. - Identificar los riesgos asociados al alcance
establecido. - Analizar y evaluar los riesgos encontrados.
14Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Planificar.
- Identificar y evaluar las opciones de tratamiento
de los riesgos. - Aplicar controles.
- Aceptarlo de acuerdo a los criterios de
aceptación. - Evitarlo.
- Transferirlo.
- Seleccionar objetivos de control y controles
sugeridos por la norma y/u otros que apliquen. - Obtener la aprobación de la gerencia para los
riesgos residuales e implementar el SGSI. - Preparar el Enunciado de Aplicabilidad.
15Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
2 Hacer
16Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Hacer.
- Plan de tratamiento del riesgo.
- Implementar el plan de tratamiento del riesgo.
- Implementar controles seleccionados.
- Definir la medición de la efectividad de los
controles a través de indicadores de gestión. - Implementar programas de capacitación.
- Manejar las operaciones y recursos del SGSI.
- Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
17Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
3 Revisar
18Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Revisar.
- Procedimientos de monitoreo y revisión para
- Detectar oportunamente los errores.
- Identificar los incidentes y violaciones de
seguridad. - Determinar la eficacia del SGSI.
- Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad. - Determinar efectividad de las acciones
correctivas tomadas para resolver una violación
de seguridad. - Realizar revisiones periódicas.
19Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Revisar.
- Medición de la efectividad de los controles.
- Revisar las evaluaciones del riesgo
periódicamente y revisar el nivel de riesgo
residual aceptable. - Realizar auditorías internas al SGSI.
- Realizar revisiones gerenciales.
- Actualizar los planes de seguridad a partir de
resultados del monitoreo. - Registrar las acciones y eventos con impacto
sobre el SGSI.
20Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
4 Actuar
21Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
- Actuar.
- Implementar las mejoras identificadas en el SGSI.
- Aplicar acciones correctivas y preventivas de
seguridad al SGSI. - Comunicar los resultados y acciones a las partes
interesadas. - Asegurar que las mejoras logren sus objetivos
señalados.
22Seguridad de la Información SGSI
23Mantenimiento y mejora del SGSI (Act)
- Tomar acciones correctivas y preventivas, basadas
en los resultados de la revisión de la dirección,
para lograr la mejora continua del SGSI. - Medir el desempeño del SGSI.
- Identificar mejoras en el SGSI a fin de
implementarlas. - Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas). - Comunicar los resultados y las acciones a
emprender, y consultar con todas las partes
involucradas. - Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
24Estructura de la Documentación Requerida
Enfoque de la Gerencia Política, Alcance,
Evaluación Riesgo
Manual de Seguridad
Nivel I
Descripción de procesos, Quién hace qué y cuándo
Procedimientos
Nivel II
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Nivel III
Nivel IV
Provee evidencia objetiva de la conformidad con
SGSI
Registros
25Factores Claves de Éxito en la Implementación de
un SGSI
- Política de seguridad documentada y alineada con
los objetivos del negocio. - Apoyo y participación visible de la alta
gerencia. - Entendimiento de los requerimientos de seguridad,
evaluación y gestión de los riesgos asociados. - Compatibilidad con la cultura organizacional.
- Entrenamiento y educación.
26Conclusiones
- Hoy en día las organizaciones dependen en gran
medida de su tecnología y sus activos de
información. - Por lo anterior, impera una protección adecuada a
las informaciones importantes. - Seguridad no es un producto, es un proceso que
debe ser administrado.
27Conclusiones
- Nada es estático, la seguridad no es la
excepción. Mejora continua. - Seguridad total no existe, pero sí existe la
garantía de calidad en un proceso de seguridad.
28Preguntas y Respuestas