Sistema de gestión de la seguridad de la información

315 views

Published on

Sistema de Gestion

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
315
On SlideShare
0
From Embeds
0
Number of Embeds
19
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sistema de gestión de la seguridad de la información

  1. 1. Sistema de Gestión de la Seguridad de la InformaciónSGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de laSeguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglasde Information Security Management System.Este proceso es el que constituye un SGSI, que podría considerarse, por analogíacon una norma tan conocida como ISO 9001, como el sistema de calidad para laseguridad de la información.Garantizar un nivel de protección total es virtualmente imposible, incluso en elcaso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de laseguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de lainformación sean conocidos, asumidos, gestionados y minimizados por la organizaciónde una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada alos cambios que se produzcan en los riesgos, el entorno y las tecnologías.¿Para qué sirve un SGSI?Lainformación, junto alos procesos ysistemas que hacenuso de ella, sonactivos muyimportantes de unaorganización. Laconfidencialidad,integridad ydisponibilidad deinformaciónsensible pueden llegar a ser esenciales para mantener los niveles de competitividad,rentabilidad, conformidad legal e imagen empresarial necesarios para lograr losobjetivos de la organización y asegurar beneficios económicos.
  2. 2. Las organizaciones y sus sistemas de información están expuestos a un númerocada vez más elevado de amenazas que, aprovechando cualquiera de lasvulnerabilidades existentes, pueden someter a activos críticos de información a diversasformas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking”o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos,pero también se deben considerar los riesgos de sufrir incidentes de seguridad causadosvoluntaria o involuntariamente desde dentro de la propia organización o aquellosprovocados accidentalmente por catástrofes naturales y fallos técnicos.¿Cómo se implementa un SGSI?Paraestablecer ygestionar unSistema deGestión de laSeguridad delaInformaciónen base a ISO27001, seutiliza el ciclocontinuo PDCA, tradicional en los sistemas de gestión de la calidad.Plan (planificar): establecer el SGSI.Do (hacer): implementar y utilizar el SGSI.Check (verificar): monitorizar y revisar el SGSI.Act (actuar): mantener y mejorar el SGSI.Plan: Establecer el SGSIDefinir el alcance del SGSI en términos del negocio, la organización, sulocalización, activos y tecnologías, incluyendo detalles y justificación de cualquierexclusión.Definir una política de seguridad que:
  3. 3. – Incluya el marco general y los objetivos de seguridad de la información de laorganización;– Considere requerimientos legales o contractuales relativos a la seguridad de lainformación;– Esté alineada con el contexto estratégico de gestión de riesgos de la organizaciónen el que se establecerá y mantendrá el SGSI;– Establezca los criterios con los que se va a evaluar el riesgo;– Esté aprobada por la dirección.Analizar y evaluar los riesgos:- Evaluar elimpacto en el negociode un fallo de seguridadque suponga la pérdidade confidencialidad,integridad odisponibilidad de unactivo de información;– Evaluar deforma realista laprobabilidad deocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades,impactos en los activos y los controles que ya estén implementados;– Estimar los niveles de riesgo;– Determinar, según los criterios de aceptación de riesgo previamente establecidos,si el riesgo es aceptable o necesita ser tratado.Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:– Aplicar controles adecuados;– Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas ycriterios establecidos para la aceptación de los riesgos;– Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
  4. 4. – Transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores deoutsourcing.Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001para el tratamiento del riesgo que cumplan con los requerimientos identificados en elproceso de evaluación del riesgo.Aprobar por parte de la dirección tanto los riesgos residuales como la implantacióny uso del SGSI.Definir una declaración de aplicabilidad que incluya:– los objetivos de control y controles seleccionados y los motivos para su elección;- los objetivos de control y controles que actualmente ya están implantados;– los objetivos de control y controles del Anexo A excluidos y los motivos para suexclusión; este es un mecanismo que permite, además, detectar posibles omisionesinvoluntarias.¿Qué incluye un SGSI?En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostradográficamente la documentación del sistema como una pirámide de cuatro niveles. Esposible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Informaciónbasado en ISO 27001 de la siguiente forma:
  5. 5. Documentos de Nivel 1Manual de seguridad: por analogía con el manual de calidad, aunque el término seusa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, elque expone y determina las intenciones, alcance, objetivos, responsabilidades, políticasy directrices principales, etc., del SGSI.Documentos de Nivel 2Procedimientos: documentos en el nivel operativo, que aseguran que se realicen deforma eficaz la planificación, operación y control de los procesos de seguridad de lainformación.Documentos de Nivel 3Instrucciones, checklists y formularios: documentos que describen cómo serealizan las tareas y las actividades específicas relacionadas con la seguridad de lainformación.Documentos de Nivel 4Registros: documentos que proporcionan una evidencia objetiva del cumplimientode los requisitos del SGSI; están asociados a documentos de los otros tres niveles comooutput que demuestra que se ha cumplido lo indicado en los mismos.De manera específica, ISO 27001 indica que un SGSI debe estar formado por lossiguientes documentos (en cualquier formato o tipo de medio):• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,incluyendo una identificación clara de las dependencias, relaciones y límites que existenentre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos enlos que el ámbito de influencia del SGSI considere un subconjunto de la organizacióncomo delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).• Política y objetivos de seguridad: documento de contenido genérico queestablece el compromiso de la dirección y el enfoque de la organización en la gestión dela seguridad de la información.• Procedimientos y mecanismos de control que soportan al SGSI: aquellosprocedimientos que regulan el propio funcionamiento del SGSI.
  6. 6. • Enfoque de evaluación de riesgos: descripción de la metodología a emplear(cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades deocurrencia e impactos en relación a los activos de información contenidos dentro delalcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación deniveles de riesgo aceptables.• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología deevaluación anteriormente mencionada a los activos de información de la organización.• Plan de tratamiento de riesgos: documento que identifica las acciones de ladirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgosde seguridad de la información, en función de las conclusiones obtenidas de laevaluación de riesgos, de los objetivos de control identificados, de los recursosdisponibles, etc.• Procedimientos documentados: todos los necesarios para asegurar laplanificación, operación y control de los procesos de seguridad de la información, asícomo para la medida de la eficacia de los controles implantados.• Registros: documentos que proporcionan evidencias de la conformidad con losrequisitos y del funcionamiento eficaz del SGSI.• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglasinglesas); documento que contiene los objetivos de control y los controles contempladospor el SGSI, basado en los resultados de los procesos de evaluación y tratamiento deriesgos, justificando inclusiones y exclusiones.Control de la documentaciónPara los documentos generados se debe establecer, documentar, implantar ymantener un procedimiento que defina las acciones de gestión necesarias para:• Aprobar documentos apropiados antes de su emisión.• Revisar y actualizar documentos cuando sea necesario y renovar su validez.• Garantizar que los cambios y el estado actual de revisión de los documentosestán identificados.• Garantizar que las versiones relevantes de documentos vigentes estándisponiblesen los lugares de empleo.
  7. 7. • Garantizar que los documentos se mantienen legibles y fácilmente identificables.• Garantizar que los documentos permanecen disponibles para aquellas personasque los necesiten y que son transmitidos, almacenados y finalmente destruidos acordecon los procedimientos aplicables según su clasificación.• Garantizar que los documentos procedentes del exterior están identificados.• Garantizar que la distribución de documentos está controlada.• Prevenir la utilización de documentos obsoletos.• Aplicar la identificación apropiada a documentos que son retenidos con algúnpropósito.

×