Professional Documents
Culture Documents
AGENDA
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN CONCEPTOS BSICOS QU ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC 27001:2005? CONTENIDO NORMA ISO/IEC 27001:2005 METODOLOGA Y CICLO DE IMPLEMENTACIN DOMINIOS DE SEGURIDAD
Es un sistema de gestin que comprende la poltica, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestin de la seguridad de la informacin. Un SGSI se implanta de acuerdo a estndares de seguridad como el ISO 27001 basado en el cdigo de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservacin de las caractersticas de CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD.
CONCEPTOS BSICOS
Activo Se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Confidencialidad Acceso a la informacin por parte nicamente de quienes mmmm mmm estn autorizados. Disponibilidad Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Integridad Mantenimiento de la exactitud y completitud de la mmmmmmmm informacin y sus mtodos de proceso.
BENEFICIOS PARA LA CRA Establecimiento de una metodologa de gestin de la seguridad de la informacin clara y bien estructurada. Reduccin de riesgos de prdida, robo o corrupcin de la informacin. Los usuarios tienen acceso a la informacin de manera segura, lo que se traduce en confianza. Los riesgos y sus respectivos controles son revisados constantemente. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. Continuidad en las operaciones del negocio tras incidentes de gravedad. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin. Incrementa el nivel de concientizacin del personal con respecto a los tpicos de seguridad informtica. Proporciona confianza y reglas claras al personal de la empresa.
0. Introduccin 1. Objeto 2. Referencias normativas 3. Trminos y definiciones 4. Sistema de gestin de la seguridad de la informacin 5. Responsabilidades de la Direccin 6. Auditorias internas del SGSI 7. Revisin del SGSI por la direccin 8. Mejora de SGSI Anexo A. Resumen de controles Anexo B. Relacin con los Principios de la OCDE Anexo C. Correspondencia con otras normas Bibliografa
Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo
P A V H
Revisin Gerencial Desarrollar procesos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI
Integridad
GESTIN DE ACTIVOS SEGURIDAD DE LOS RECURSOS HUMANOS SEGURIDAD FSICA Y DEL ENTORNO
Disponibilidad
INFORMACIN
GESTIN DE COMUNICACIONES Y OPERACIONES CONTROL DE ACCESO ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
Confidencialidad
GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN GESTIN DE LA CONTINUIDAD DEL NEGOCIO CUMPLIMIENTO DE POLTICAS Y NORMATIVIDAD LEGAL
POLTICA DE SEGURIDAD
Objetivo:
Poltica de seguridad de la informacin: brindar apoyo y orientacin a la
direccin con respecto a la seguridad de la informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Objetivo:
Organizacin Interna: gestionar la seguridad de la informacin dentro de la
organizacin.
GESTIN DE ACTIVOS
Objetivo:
Responsabilidad por los activos: lograr y mantener la proteccin adecuada
de los activos organizacionales.
Objetivo:
Antes de la contratacin laboral: asegurar que los empleados, contratistas,
y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.
Objetivo:
reas seguras: evitar el acceso fsico no autorizado, el dao e interferencia a las
instalaciones y a la informacin de la organizacin.
Seguridad de los equipos: evitar prdida, dao, robo o puesta en peligro de los
activos y la interrupcin de las actividades de la organizacin.
Objetivo:
asegurar operacin correcta y segura de los servicios de procesamiento de informacin.
Procedimientos
operacionales
responsabilidades:
la
Objetivo:
Proteccin contra cdigos maliciosos y mviles: proteger la integridad
del software y de la informacin.
Objetivo:
Intercambio de la Informacin: mantener la seguridad de la informacin y
del software que se intercambian dentro de la organizacin y con cualquier entidad externa.
CONTROL DE ACCESO
Objetivo:
Requisito del negocio para el control de acceso: controlar el acceso a la
informacin.
CONTROL DE ACCESO
Objetivo:
Control de acceso al sistema operativo: evitar el acceso no autorizado a
los sistemas operativos.
Objetivo:
Requisitos de seguridad de los sistemas de informacin: garantizar que
la seguridad es parte integral de los sistemas de informacin.
Objetivo:
Seguridad de los archivos del sistema: garantizar la seguridad de los
archivos del Sistema.
Objetivo:
Reporte sobre los eventos y las debilidades de la seguridad de la informacin: asegurar que los eventos y las debilidades de la seguridad de la
informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.
Gestin de los incidentes y las mejoras en la seguridad de la informacin: asegurar que se aplica un enfoque consistente y eficaz para la
gestin de los incidentes de seguridad de la informacin.
Objetivo:
Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio: contrarrestar las interrupciones en las actividades
del negocio y proteger sus procesos crticos contra los efectos de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su recuperacin oportuna.
CUMPLIMIENTO
Objetivo:
Cumplimiento de los requisitos legales: evitar el incumplimiento de
cualquier ley de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.
Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico: asegurar que los sistemas cumplen con las normas y
polticas de seguridad de la organizacin.
Identificar, clasificar y valorar los activos de Informacin dentro de la Entidad. Analizar y determinar el nivel de riesgo existente en los procesos y objetivos de la Entidad. Implementar controles para fortalecer las estrategias de seguridad de la Informacin. Lograr que todos los servidores de la CRA se concienticen de la importancia de la implementacin del SGI.