Professional Documents
Culture Documents
RIESGOS
Exterior
Interior
Seguridad informtica:
Proteccin de las infraestructuras de
las tecnologas de la informacin y
comunicacin que soporta el negocio.
Seguridad de la informacin:
Proteccin de los activos de la
informacin fundamentales para le
xito de cualquier organizacin.
Activos de la informacin
Correos
electrnicos
Faxes
Paginas web
Imgenes
Bases de
datos
Documentos
Contratos
Presentacione
Estn en diferentes fuentes
y provienen de
s digitales. Se debe
medios como papel o medios
de tener en cuenta el tiempo de vida de la
informacin.
SGSI
Mtodo que permite:
ANALISIS
Analizar y ordenar la
estructura de los sistemas
de la informacin.
DEFINICION
Definicin
de
los
procedimientos de trabajo
para
mantener
su
seguridad.
CONTROLES
Controles que permitan
medir la eficiencia de las
medidas tomadas.
Parmetros de la seguridad de la
informacin
Confidencialidad, implica
el
acceso
de
la
informacin
mediante
autorizacin.
Integridad,
mantenimiento
de
exactitud y completitud
de la informacin.
Disponibilidad,
acceso
de
informacin
a
usuarios autorizados en
INFORMACION
Es una gran activo del que depende el
buen funcionamiento de una organizacin.
En la actualidad el desarrollo de la
tecnologa conlleva el incremento de
riesgos con respecto a la seguridad de la
informacin. Estos riesgos y amenazas
puede provenir desde el interior o exterior
de la empresa.
Riesgos fsicos
Riesgos lgicos
(tecnolgicos)
Afectan
disponib
ilidad de
recursos
.
Afectan la
confianza
ante
los
clientes
y
nuestra
imagen en
el mercado.
ISO
27001,
herramienta o
metodologa
sencilla que nos
permite
establecer:
Polticas,
procedimientos
y controles para
disminuir
La implantacin y posterior
certificacin
de
estos
sistemas
supone
la
implicacin
de
toda
la
empresa, empezando por la
direccin
sin
cuyo
compromiso no seria posible
la puesta en marcha.
La direccin debe liderar todo
el proceso, ya que conoce los
riesgos del negocio y las
obligaciones con los clientes.
Beneficios
La
seguridad
se considera
un sistema
y
se
convierte en
una
actividad de
gestin.
ESTNDAR DE GESTIN DE
SEGURIDAD
ISO/IEC 27001
Recoge
componentes
del
sistema,
documentos mnimos, registros que permitan
evidenciar el buen funcionamiento del
sistema, especifica requisitos para implantar
controles y medidas de seguridad adaptados
El diseo
del
SGSI
depender
de
El
tiempo
de
implantacin
depende
del
tamao
de
la
empresa,
estado
inicial del SGSI y
recursos
destinados
Para
la
implantacin
utilizaremos
el
modelo PDCA, un
modelo dividido
en 4 fases:
La
continua
evolucin
de
nuestro SGSI debe
estar
documentada, para
esto se utilizaran
FASE DE PLANIFICACION
Estudio de las situaciones de la organizacin desde el
punto de vista de la seguridad para estimar medidas a
implantar en funcin de las necesidades. La
informacin esta sometida a riesgos.
FASE DE EJECUCION
Implantacin de controles seleccionados en la fase anterior,
controles mas tcnicos y documentos necesarios.
Requiere tiempo de concienciacin y formacin para dar a
conocer que se esta haciendo y por que, al personal de la
empresa.
FASE DE SEGUIMIENTO
Evaluar
eficiencia
y
xito
de
controles
implementados, por ellos es importante contar
con registros o indicadores que provengan de
estos controles.
FASE DE MEJORA
Labor de mantenimiento del sistema
Medidas correctoras
Medidas preventivas
Medidas de mejora
Se
toman
resultados
de la ultima
y se vuelve
a
empezar
con
el
proceso.
DISEO DE SGSI
ALCANCE
Determinar partes y procesos decidiendo
que es lo que se quiere proteger y de
donde se debe empezar.
Se determinara:
Se
estimara
recursos
y
personal a cargo
de implantar y
mantener SGSI.
POLITICA
Recoge directrices que debe seguir la
seguridad de la informacin de acuerdo a las
necesidades de la empresa. Pautas de
actuacin en caso de incidentes y definir las
responsabilidades.
El documente delimita que se debe proteger,
de quien y por que, explica lo permitido y lo
Corta y precisa
que no.
Dominio publico
Resolucin de conflictos
Responsabilidades asociadas
con autoridad.
Proteccin de personas e
informacin.
Personalizada
Normas y reglas adoptadas
La poltica se debe
actualizar cada ao.
revisar
ORGANIZACIN
Se realiza la revisin de los aspectos
organizativos de la entidad y
asignacin
de
nuevas
responsabilidades, hay 3 de gran
importancia:
ISO 27001
El ESTNDAR DE
SEGURIDAD DE LA
INFORMACIN
-Creciente uso de las nuevas tecnologas-Nuevas formar de delito informtico-Su cumplimiento nos proteger de amenazas externas-
Anlisis y valoracin de
riesgos
CONCEPTOS BSICOS
CONCEPTOS BSICOS
-Indica lo que le podra pasar a los activos-Eventos que pueden ocasionar incidentes-Son las debilidades que presentan los activos-
CONCEPTOS BSICOS
GESTIN Y TRATAMIENTO
DEL RIESGO
SOA: Declaracin de
aplicabilidad.
El SOA recoge qu
controles aplican en la
organizacin y cuales
no.
SI: deben incluir los
objetivos del control,
la descripcin y la
razn de su seleccin
NO: Se debe indicar la
razn de su exclusin
de manera detallada
SEGUIMIENTO Y REGISTRO
DE LAS OPERACIONES DEL
SISTEMA
-Recoge el estado del sistema-Refleja el estado del sistema-Resumen del estado del sistema-Grado de cumplimiento-
GESTIN DE CONTINUIDAD
PROCESO DE
CERTIFICACIN
PROCESO DE CERTIFICACIN
PROCESO DE
CERTIFICACIN
SOLICITUD DE CERTIFICACIN: En este
documento se especifica una serie de datos de la
organizacin y la implantacin del SGSI.
AUDITORIA DOCUMENTAL: Se revisa la
documentacin generada durante la
implantacin del sistema.
AUDITORIA IN-SITU: Verificar la
documentacin revisada y los registros del
sistema. Durante esta fase los auditores
confirman que la organizacin cumple con sus
polticas y procedimientos.