Presentación sgsi janethpiscoya
Upcoming SlideShare
Loading in...5
×
 

Presentación sgsi janethpiscoya

on

  • 4,420 views

seguridad de la información

seguridad de la información

Statistics

Views

Total Views
4,420
Views on SlideShare
4,420
Embed Views
0

Actions

Likes
2
Downloads
227
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentación sgsi janethpiscoya Presentación sgsi janethpiscoya Presentation Transcript

  • Lic. Janeth Y. Piscoya M.
  • • El contenido de este tema está orientado a la Seguridad de la Información que en particular trata de mostrar las Normas Internacionales que rigen las condiciones en el manejo seguro de información y la importancia de aplicar un SGSI en las Organizaciones.
  • Conceptos
  • Normas Internacionales • ISO/IEC 27000 que contiene las mejores prácticas recomendadas en materia de Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). • La mejor definición de SGSI está descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por (ISO) y la (IEC). • ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación • del SGSI. • ISO/IEC 27002 Información tecnología- Técnicas de Seguridad- Códigos de prácticas para la Seguridad de la Información
  • Normas Internacionales • ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. • ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. • ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335. • ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
  • Dominios de control ISO27001
  • SGSI
  • Para la implantación de un SGSI deben ser considerados, fundamentalmente, los siguientes estándares: • - El estándar ISO/IEC 17799:2005, “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”, que enumera una serie de medidas para proteger la información (en concreto, 133). • - La norma UNE 71502: “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información”, que establece los requerimientos para el diseño e implantación del SGSI. • Uno de los aspectos más innovadores de un SGSI es el hecho de que considera la seguridad de la información como un proceso de gestión. Frente a la visión tradicional de la seguridad, contemplada desde un punto de vista meramente técnico, el SGSI trata de lograr un equilibrio entre seguridad física, técnica, procedimental y de personal.
  • Implantar un SGSI • implantar un SGSI deberá proceder, en primer lugar, a la definición del alcance. Para ello, es necesario determinar los procesos de negocio que se encuentran incluidos en el SGSI, así como los activos (hardware, software, información, etc.) que soportan estos procesos y los departamentos involucrados en el desarrollo de los mismos.
  • Fase de Implantación SGSI • Se establecerán normativas y procedimientos de seguridad que desarrollarán las directrices generales establecidas en el manual de gestión de la seguridad de la información. Estas normativas corresponderán, por tanto, a los controles establecidos por el estándar ISO/IEC 17799: normativa de clasificación y tratamiento de la información, de control de acceso lógico, control de acceso físico, funciones y obligaciones del personal, gestión de soportes, gestión de incidentes de seguridad, copias de respaldo y recuperación, desarrollo y mantenimiento de sistemas, continuidad de negocio y planes de contingencia, etc.
  • Dominio de Control de un SGSI
  • Beneficios del SGI • Facilita la trasparencia, al ser un sistema auditable por terceros. • Permite establecer una comparación con otras organizaciones. • Proporciona una medición objetiva del desempeño de la seguridad. • Permite a la Alta Dirección tomar responsabilidad y control de los esfuerzos de seguridad. • La implementación y éxito depende del nivel de madurez de la Organización en sus procesos internos.
  • Implementación de un SGSI exitoso Un requerimiento fundamental a considerar para garantizar la efectiva implantación del SGSI es la formación y concienciación del personal incluido en el alcance, con el fin de garantizar el conocimiento de sus funciones y obligaciones en materia de seguridad. Las políticas, normas y procedimientos desarrollados en el marco del SGSI deben ser debidamente publicados y divulgados.
  • Revisión ,Monitorización del SGSI • Ejecutar procedimientos de monitorización para detectar errores de proceso, identificar fallos de seguridad de forma rápida y acciones a realizar. • Revisión del SGSI • Revisiones periódicas de la política y alcance del SGSI, así como de su eficacia. • Revisiones de los niveles de riesgos residuales y riegos aceptables. • Auditorías internas/externas del SGSI.
  • Mantenimiento y Mejoramiento del SGSI • Comunicar resultados de las auditorías a las partes interesadas. • Adoptar acciones correctivas y preventivas. • Mejora Continua • Medir el rendimiento del SGSI. • Implantar las mejoras identificadas en las revisiones del SGSI.
  • conclusiones • El SGSI otorga un enfoque global a la gestión de la seguridad, proporcionando una imagen corporativa de compromiso con la seguridad, promueve la confianza en las relaciones con terceros, puede suponer un incremento de la rentabilidad del negocio y mejorar la imagen pública o la imagen frente a clientes de la organización. • Por otra parte, e independientemente de que se obtenga o no la certificación, la implantación de un SGSI mejora ostensiblemente la seguridad, puesto que permite minimizar los riesgos a los que se encuentra expuesta la información de la organización, preservando la confidencialidad, integridad y disponibilidad de la misma y evitando la materialización de incidentes de seguridad que podrían afectar de forma negativa a la organización en términos de impacto financiero, legal, de imagen frente a clientes o imagen pública.