Prezentacja programu PowerPoint - PowerPoint PPT Presentation

About This Presentation
Title:

Prezentacja programu PowerPoint

Description:

Title: Prezentacja programu PowerPoint Last modified by: panchobravo Created Date: 10/23/2003 10:38:20 AM Document presentation format: Presentaci n en pantalla (4:3) – PowerPoint PPT presentation

Number of Views:208
Avg rating:3.0/5.0
Slides: 29
Provided by: ulagosFil
Category:

less

Transcript and Presenter's Notes

Title: Prezentacja programu PowerPoint


1
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN ISO 27001
Base de datos
2
Qué es Información?
  • Es un conjunto de datos acerca de algún suceso,
    hecho, fenómeno o situación, que organizados en
    un contexto determinado tienen un significado y
    que tiene el propósito de reducir la
    incertidumbre o incrementar el conocimiento de
    algo.
  • Information existe en diferentes formatos
  • Capital Humano
  • Impresa o escrita en papel
  • Dispositivos de almacenamiento (Discos, CDs,
    etc)
  • Oral (teléfono, móvil, etc.)
  • Video, fotos


3
La Información en las Empresas
  • Dentro de una Empresa, la información es
    considerada un Activo (un recurso) que tiene
    valor o utilidad para sus operaciones comerciales
    y su continuidad. Por esta razón, esta
    información necesita tener protección para
    asegurar una correcta operación del negocio y una
    continuidad en sus operaciones.

4
La Información en las Empresas
  • Estos activos pueden ser clasificados de la
    siguiente forma
  • Activos de Información (datos, manuales de
    usuario, etc.)
  • Documentos en Papel (contratos)
  • Activos de software (aplicación, software de
    sistema, etc.)
  • Activos físicos (computadores, medios magnéticos,
    etc.)
  • Personal (clientes, trabajadores)
  • Imagen y reputación de la organización
  • Servicios (comunicaciones, etc.)

5
Qué es seguridad de la Información?
La seguridad de información se caracteriza por la
preservación de
Confidencialidad
Integridad

Disponibilidad de la información

6
Identificación de Amenazas
Tipos de Amenazas
Amenazas Operacionales
Amenazas Humanas
Amenazas a Instalaciones
Amenazas Sociales
Amenazas Tecnológicas
Amenazas Naturales

7
Vulnerabilidades
Tipos de Vulnerabilidades
Control de Acceso
Seguridad física y ambiental
Seguridad de los recursos humanos
Gestión operaciones y comunicación
Mantenimiento, desarrollo de Sist. de información

8
Seguridad de la Información SGSI
9
Seguridad de la Información ?
  • La información es un activo que como otros
    activos importantes tiene valor y requiere en
    consecuencia una protección adecuada.
  • La información puede estar
  • Impresa o escrita en papel.
  • Almacenada electrónicamente.
  • Trasmitida por correo o medios electrónicos
  • Mostrada en filmes.
  • Hablada en conversación.
  • Debe protegerse adecuadamente cualquiera que sea
    la forma que tome o los medios por los que se
    comparte o almacene.


10
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • La información es un activo que, como otros
    activos comerciales importantes, tiene valor para
    la organización y, en consecuencia, necesita ser
    protegido adecuadamente.
  • Un Sistema de Gestión de Seguridad de
    Información (SGSI) es un sistema gerencial
    general basado en un enfoque de riesgos para
    establecer, implementar, operar, monitorear,
    revisar, mantener y mejorar la seguridad de la
    información

11
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
12
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
13
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Planificar.
  • Definir el enfoque de evaluación del riesgo de la
    organización.
  • Establecer metodología de cálculo del riesgo.
  • Establecer criterios de aceptación del riesgo y
    niveles de aceptación del mismo.
  • Identificar los riesgos asociados al alcance
    establecido.
  • Analizar y evaluar los riesgos encontrados.

14
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Planificar.
  • Identificar y evaluar las opciones de tratamiento
    de los riesgos.
  • Aplicar controles.
  • Aceptarlo de acuerdo a los criterios de
    aceptación.
  • Evitarlo.
  • Transferirlo.
  • Seleccionar objetivos de control y controles
    sugeridos por la norma y/u otros que apliquen.
  • Obtener la aprobación de la gerencia para los
    riesgos residuales e implementar el SGSI.
  • Preparar el Enunciado de Aplicabilidad.

15
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
2 Hacer
16
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Hacer.
  • Plan de tratamiento del riesgo.
  • Implementar el plan de tratamiento del riesgo.
  • Implementar controles seleccionados.
  • Definir la medición de la efectividad de los
    controles a través de indicadores de gestión.
  • Implementar programas de capacitación.
  • Manejar las operaciones y recursos del SGSI.
  • Implementar procedimientos de detección y
    respuesta a incidentes de seguridad.

17
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
3 Revisar
18
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Revisar.
  • Procedimientos de monitoreo y revisión para
  • Detectar oportunamente los errores.
  • Identificar los incidentes y violaciones de
    seguridad.
  • Determinar la eficacia del SGSI.
  • Detectar eventos de seguridad antes que se
    conviertan en incidentes de seguridad.
  • Determinar efectividad de las acciones
    correctivas tomadas para resolver una violación
    de seguridad.
  • Realizar revisiones periódicas.

19
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Revisar.
  • Medición de la efectividad de los controles.
  • Revisar las evaluaciones del riesgo
    periódicamente y revisar el nivel de riesgo
    residual aceptable.
  • Realizar auditorías internas al SGSI.
  • Realizar revisiones gerenciales.
  • Actualizar los planes de seguridad a partir de
    resultados del monitoreo.
  • Registrar las acciones y eventos con impacto
    sobre el SGSI.

20
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
4 Actuar
21
Gestión Seguridad Información ISO-270012005.
Modelo Preventivo
  • Actuar.
  • Implementar las mejoras identificadas en el SGSI.
  • Aplicar acciones correctivas y preventivas de
    seguridad al SGSI.
  • Comunicar los resultados y acciones a las partes
    interesadas.
  • Asegurar que las mejoras logren sus objetivos
    señalados.

22
Seguridad de la Información SGSI
23
Mantenimiento y mejora del SGSI (Act)
  • Tomar acciones correctivas y preventivas, basadas
    en los resultados de la revisión de la dirección,
    para lograr la mejora continua del SGSI.
  • Medir el desempeño del SGSI.
  • Identificar mejoras en el SGSI a fin de
    implementarlas.
  • Tomar las apropiadas acciones a implementar en el
    ciclo en cuestión (preventivas y correctivas).
  • Comunicar los resultados y las acciones a
    emprender, y consultar con todas las partes
    involucradas.
  • Revisar el SGSI donde sea necesario implementando
    las acciones seleccionadas.

24
Estructura de la Documentación Requerida
Enfoque de la Gerencia Política, Alcance,
Evaluación Riesgo
Manual de Seguridad
Nivel I
Descripción de procesos, Quién hace qué y cuándo
Procedimientos
Nivel II
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Nivel III
Nivel IV
Provee evidencia objetiva de la conformidad con
SGSI
Registros
25
Factores Claves de Éxito en la Implementación de
un SGSI
  • Política de seguridad documentada y alineada con
    los objetivos del negocio.
  • Apoyo y participación visible de la alta
    gerencia.
  • Entendimiento de los requerimientos de seguridad,
    evaluación y gestión de los riesgos asociados.
  • Compatibilidad con la cultura organizacional.
  • Entrenamiento y educación.

26
Conclusiones
  • Hoy en día las organizaciones dependen en gran
    medida de su tecnología y sus activos de
    información.
  • Por lo anterior, impera una protección adecuada a
    las informaciones importantes.
  • Seguridad no es un producto, es un proceso que
    debe ser administrado.

27
Conclusiones
  • Nada es estático, la seguridad no es la
    excepción. Mejora continua.
  • Seguridad total no existe, pero sí existe la
    garantía de calidad en un proceso de seguridad.

28
Preguntas y Respuestas
Write a Comment
User Comments (0)
About PowerShow.com